DE112018005018T5

DE112018005018T5 - USER AUTHENTICATION CHECK ON MULTIPLE DEVICES

Info

Publication number: DE112018005018T5
Application number: DE112018005018.1T
Authority: DE
Inventors: Masaya Sugawara; Takashi Yanagisawa
Original assignee: International Business Machines Corp
Current assignee: Kyndryl Inc
Priority date: 2017-11-22
Filing date: 2018-11-21
Publication date: 2020-07-16
Anticipated expiration: 2038-11-22
Also published as: WO2019102362A1; JP2021504802A; GB202008862D0; GB2581458A; DE112018005018B4; US10136320B1; GB2581458B; JP7104152B2

Abstract

Ein Berechtigungsprüfungssystem, dass eine Berechtigungsprüfungs-Prioritätsliste benutzt, die auf dynamischer und virtueller Gruppierung von Endgeräten beruht die zur Berechtigungsprüfung verwendet werden wobei das System zu einer Effizienzverbesserung der Berechtigungsprüfungs-Prioritätsabfolge bei der 1:N-Berechtigungsprüfung und bei der Hybrid-Berechtigungsprüfung führt, indem die Berechtigungsprüfungslogik zwischen 1:1- und 1:N-Berechtigungsprüfung umgeschaltet wird. Maskieren zuvor angemeldeter Benutzer für die Berechtigungsprüfungs-Prioritätsliste bei 1:N-Berechtigungsprüfung verbessert die Effizienz der Berechtigungsprüfungs-Prioritätsabfolge bei der 1:N-Berechtigungsprüfung.An authorization check system that uses an authorization check priority list that is based on dynamic and virtual grouping of terminals that are used for the authorization check, whereby the system leads to an efficiency improvement in the authorization check priority sequence in the 1: N authorization check and in the hybrid authorization check by the authorization check logic is switched between 1: 1 and 1: N authorization check. Masking previously logged on users for the authentication priority list for 1: N authentication improves the efficiency of the authentication priority sequence for 1: N authentication.

Description

Technisches GebietTechnical field

Die vorliegende Erfindung ist auf ein Berechtigungsprüfungssystem gerichtet, das in einem IT-System auf der Grundlage biometrischer Daten eine Berechtigungsprüfungsverarbeitung des Systems dynamisch optimiert, indem sich das Berechtigungsprüfungssystem auf eine Verteilung der Benutzernutzung von Endgeräten stützt, wodurch eine Leistungsverbesserung der Berechtigungsprüfungsverarbeitung erreicht wird.The present invention is directed to an authentication system that dynamically optimizes authentication processing of the system based on biometric data in an IT system by relying on a distribution of user usage of terminals, thereby improving the performance of authentication processing.

HINTERGRUNDBACKGROUND

Die dem Stand der Technik entsprechende Berechtigungsprüfung in IT-Systemen auf der Grundlage biometrischer Daten beinhaltet in der Regel, dass eine auf Kennwörtern beruhende Berechtigungsprüfung der Identität eines Benutzers wie zum Beispiel einer Benutzerkennung durch eine Berechtigungsprüfung ersetzt wird, die auf einer Eigenschaft beruht, die dem Benutzer angeboren ist, wie zum Beispiel Fingerabdrücke oder Netzhautmuster oder andere auf diesem Gebiet bekannte Eigenschaften. Diese angeborenen Eigenschaften werden üblicherweise als „biometrische Daten“ bezeichnet. In diesem Kontext nimmt die Berechtigungsprüfungsverarbeitung die Form einer sogenannten „1:1-Berechtigungsprüfung“ an, bei der biometrische Daten des Benutzers zum Zeitpunkt eines Berechtigungsprüfungsprozesses mit registrierten Daten dieses einen Benutzers verglichen werden.The state-of-the-art authorization check in IT systems based on biometric data usually includes that a password-based authorization check of a user's identity, such as a user ID, is replaced by an authorization check that is based on a property that the User is innate, such as fingerprints or retinal patterns, or other properties known in the art. These innate properties are commonly referred to as "biometric data". In this context, the authorization check processing takes the form of a so-called “1: 1 authorization check”, in which biometric data of the user are compared with registered data of this one user at the time of an authorization check process.

Den jüngsten Tendenzen bei den steigenden Anforderungen an das Sicherheitsniveau von IT-Systemen folgend spielt eine hochgenaue Berechtigungsprüfung bei der biometrischen Berechtigungsprüfung eine wichtige Rolle.Following the recent trends in the increasing demands on the security level of IT systems, a highly precise authorization check plays an important role in the biometric authorization check.

Diese Art der hochgenauen Berechtigungsprüfung, die biometrische Berechtigungsprüfung, erfordert für den Betrieb jedoch einen Leistungsaufwand der System-CPU und führt manchmal zu einer langen Berechtigungsprüfungszeit. Da die biometrische Berechtigungsprüfung einen Vergleich von Eingaben und den Daten zwischen Differenzdaten erfordert, ist die Rechenlast für einen derartigen Prozess hoch, und die Berechtigungsprüfungszeit ist lang.However, this type of high-precision authorization check, the biometric authorization check, requires the system CPU to perform and sometimes leads to a long authorization check time. Since the biometric authorization check requires a comparison of inputs and the data between difference data, the computing load for such a process is high and the authorization check time is long.

Bei einigen Umgebungen könnte ein einzelnes Endgerät durch viele Benutzer gemeinsam genutzt werden. Zum Beispiel könnten Registrierkassen im Supermarkt oder Check-In-Terminals am Flughafen durch mehr als einen Kassierer oder Angestellten der Fluggesellschaft genutzt werden.In some environments, a single terminal could be shared by many users. For example, cash registers in the supermarket or check-in terminals at the airport could be used by more than one cashier or airline employee.

Die Erkennung von Benutzern in einer derartigen Umgebung könnte so erfolgen, dass sich jeder Benutzer abmelden muss, wenn er das Endgerät verlässt, und sich jeder neue Benutzer anmelden muss, bevor er das Endgerät nutzen kann. Wenn jeder Benutzer seine Kennung vor der biometrischen Berechtigungsprüfung eingeben muss, wird diese Berechtigungsprüfung als „1:1-Berechtigungsprüfung“ bezeichnet. In diesem Fall würde die Berechtigungsprüfung durch Abgleichen zwischen angegebenen Daten vorgenommen werden und zu einer Transaktion mit konstanter Last veranlasst führen.The detection of users in such an environment could be such that each user has to log off when he leaves the terminal and each new user has to log on before he can use the terminal. If each user has to enter their ID before the biometric authorization check, this authorization check is referred to as a "1: 1 authorization check". In this case, the authorization check would be carried out by comparing the specified data and would lead to a transaction with a constant load.

Die Anforderung, dass sich Benutzer häufig an- und abmelden müssen, kann bei Umgebungen mit gemeinsam genutzten Endgeräten problematisch sein, bei denen sich Kassierer oder Angestellte von Fluggesellschaften oder dergleichen an einem einzigen Endgerät mehrfach abwechseln, um zu vermeiden, dass lange Warteschlangen von Kunden entstehen. In diesem Fall ist es wünschenswert, dass sich nicht jeder Benutzer an- und abmelden muss, sondern stattdessen ein einziges gemeinsames Benutzerkonto und nicht ein einzelner Benutzer zum Anmelden am Endgerät verwendet wird, und anschließend eine biometrische Berechtigungsprüfung verwendet wird, sobald der Benutzer das Endgerät zu nutzen beginnt, an dem bereits eine Anmeldung erfolgte. Die Anzahl möglicher registrierter Benutzer für ein beliebiges Endgerät in einer derartigen Umgebung könnte in die Hunderte gehen, wobei alle ein einziges gemeinsames Benutzerkonto nutzen. Das Durchführen der Berechtigungsprüfung der Benutzer am gemeinsamen Benutzerkonto wird als „1:N-Berechtigungsprüfung“ bezeichnet, wobei ein Benutzerkonto „N“ mögliche Nutzer hat.The requirement that users have to log in and out frequently can be problematic in shared terminal environments where cashiers or airline employees or the like take turns on a single terminal to avoid long queues of customers . In this case, it is desirable that not every user has to log in and out, but instead a single shared user account and not a single user is used to log on to the terminal, and then a biometric authorization check is used as soon as the user closes the terminal begins to use at which a registration has already been made. The number of possible registered users for any terminal in such an environment could be in the hundreds, all using a single shared user account. Carrying out the authorization check of the users on the common user account is referred to as “1: N authorization check”, whereby a user account has “N” possible users.

Es wird klar sein, dass aufgrund der ureigenen Art der Berechtigungsprüfung, die auf von den Benutzern abgeleiteten biometrischen Daten beruht, die Berechtigungsprüfung schnell durchgeführt werden muss, wenn eine Leistungsverbesserung erreicht werden soll, wenn bei jedem Benutzer lediglich die herkömmliche auf der Benutzerkennung beruhende Anmeldung und Abmeldung verlangt wird. Darüber hinaus muss dieser Prozess durchgeführt werden, während sich das System im Vergleich zur normalen 1:1-Berechtigungsprüfung in einem stark belasteten Zustand befindet, der verständlicherweise und unausweichlich zu Verzögerungen bei den erforderlichen Prozessen führt.It will be clear that due to the inherent nature of the authorization check, which is based on biometric data derived from the users, the authorization check must be carried out quickly if an improvement in performance is to be achieved if each user merely uses the conventional login based on the user ID and Unsubscription is required. In addition, this process must be performed while the system is in one compared to the normal 1: 1 authorization check highly stressed state, which understandably and inevitably leads to delays in the required processes.

Da diese Art der Nutzung eine schnelle Berechtigungsprüfung erfordert, besteht ein Bedarf an einer schnellen Verarbeitung unter Verwendung der biometrischen Berechtigungsprüfu ng.Since this type of use requires a fast authorization check, there is a need for fast processing using the biometric authorization check.

Viele bestehende Konzepte realisieren eine Beschleunigung bei der 1:N-Berechtigungsprüfung über verschiedene Ansätze. In den folgenden Erläuterungen werden bestehende Erfindungen, die auf Ansätze zur Beschleunigung der 1:N-Berechtigungsprüfung gerichtet sind, in solche klassifiziert, die Bedeutung für die vorliegende Erfindung haben, und in solche, die wenig oder keine Bedeutung für die vorliegende Erfindung haben. Diese bestehenden Systeme können unter die folgenden Klassen fallen:Many existing concepts accelerate the 1: N authorization check using different approaches. In the following explanations, existing inventions aimed at speeding up the 1: N authentication check are classified into those that are relevant to the present invention and those that have little or no relevance to the present invention. These existing systems can fall into the following classes:

Auf Berechtigungsprüfungslogik beruhende Beschleunigung: Beschleunigung durch parallele Berechtigungsprüfungsverarbeitung, um mehrere Berechtigungsprüfungsprozesse auszuführen, mehrstufige Berechtigungsprüfung durch Erstellung repräsentativer Daten usw. Die Beschleunigung der Berechtigungsprüfung bei der Parallelverarbeitung ist nicht dazu gedacht, die gesamte Systemlast zu reduzieren, die im Zusammenhang mit der Berechtigungsprüfung steht. Eine Beschleunigung über repräsentative Daten berücksichtigt nicht die ungleichmäßige Verteilung der Prozesse und Aufgaben im Zusammenhang mit der Berechtigungsprüfung bei Benutzern. Ob repräsentative Daten erstellt werden können, hängt von Varianten ab, die bei der biometrischen Berechtigungsprüfung von Benutzern festgestellt werden.Acceleration based on authorization check logic: acceleration through parallel authorization check processing to execute multiple authorization check processes, multi-level authorization check through creation of representative data, etc. The acceleration of the authorization check during parallel processing is not intended to reduce the overall system load that is associated with the authorization check. Acceleration via representative data does not take into account the uneven distribution of processes and tasks in connection with the authorization check for users. Whether representative data can be created depends on the variants that are determined by the biometric authorization check of users.

Techniken im Zusammenhang mit biometrischen Berechtigungsprüfungsdaten: Funktionen im Zusammenhang mit dem Erhöhen der Genauigkeit biometrischer Berechtigungsprüfungsdaten und dem Bereitstellen zusätzlicher Informationen für den Hauptzweck der Verbesserung der Genauigkeit der biometrischen Berechtigungsprüfung zwischen mehreren Einheiten. Der Hauptzweck besteht darin, die Genauigkeit der Berechtigungsprüfung zum Zeitpunkt des Durchführens der 1:N-Berechtigungsprüfung anstelle der Beschleunigung der Berechtigungsprüfung an sich zu verbessern.Biometric authentication data related techniques: functions related to increasing the accuracy of biometric authentication data and providing additional information for the main purpose of improving the accuracy of multi-entity authentication. The main purpose is to improve the accuracy of the authorization check at the time of performing the 1: N authorization check instead of speeding up the authorization check itself.

Verringern des Datenbereichs mit Hilfe eindeutiger Informationen: Beschleunigung durch Verringern des Bereichs von Berechtigungsprüfungsdaten durch Inhalte von Betriebsprozessen und -aufgaben für jeden Benutzer, indem die Dienst- und Endgerätekennung des bei dem Dienst verwendeten Endgeräts verwendet wird. Das Konzept der Beschleunigung und des Suchens nach jedem Benutzer unter Verwendung des Dienstes auf der Grundlage der Endgeräte ist als Beschleunigungskonzept nicht zufriedenstellend, da Benutzer zu diesem Zeitpunkt nicht bewusst die Randbedingung des Gedankens berücksichtigen, dass eindeutige Endgeräte in einer Umgebung vorliegen, in der an mehreren gemeinsam genutzten Endgeräten gemeinsame Benutzerkonten verwendet werden.Reduce the data area with the help of unique information: Accelerate by reducing the range of authentication data by content of operational processes and tasks for each user, by using the service and terminal identification of the terminal used in the service. The concept of acceleration and searching for each user using the service based on the terminals is unsatisfactory as an acceleration concept, since users are not aware of the constraint of the idea that there are unique terminals in an environment in which there are several at this time shared user devices are used.

Optimierung durch Ähnlichkeit: Auf der Grundlage der Ähnlichkeit bei den erhaltenen biometrischen Informationen werden Punktbewertungen berechnet, um eine Unterbrechung und Beschleunigung der Berechtigungsprüfung zu erreichen. Die Verwendung der Ähnlichkeit ist ein Beschleunigungskonzept, das von den biometrischen Informationen der Benutzer abhängt, was sehr flexibel ist, aber keinerlei Auswirkungen einbezieht, die im Kontext dieses Falles wesentlich sind.Optimization through similarity: On the basis of the similarity in the biometric information obtained, point evaluations are calculated in order to interrupt and accelerate the authorization check. The use of similarity is an acceleration concept that depends on the biometric information of the users, which is very flexible but does not include any effects that are essential in the context of this case.

Zu bestehenden beispielhaften Fällen von Konzepten und den Problemen der Konzepte der jeweiligen bestehenden Erfindungen gehören folgende:Existing exemplary cases of concepts and the problems of the concepts of the respective existing inventions include the following:

Beschleunigung der Berechtigungsprüfung durch Umschalten zwischen 1:1-Berechtigungsprüfung und 1:N-Berechtigungsprüfung: Dieses Verfahren ist auf ein Konzept der Beschleunigung durch Unterscheidung und Umschalten zwischen Prozessen der 1:1-Berechtigungsprüfung und 1:N-Berechtigungsprüfung gerichtet. Das bestehende Beschleunigungskonzept durch Umschalten zwischen 1:1- und 1:N-Berechtigungsprüfungen ist unter der Ermittlungsbedingung realisiert, dass das Vorliegen oder Fehlen einer der Berechtigungsprüfung zu unterziehenden beliebigen Eingabe einer Kennung ermittelt wird, die durch den Benutzer als Bedingung für das Verwenden der 1:1-Berechtigungsprüfung eingegeben wird. Bei der Umgebung, bei der eine Beschleunigung erreicht werden sollte, wird angenommen, dass Zugriffe durch Benutzer unter Verwendung des gemeinsamen Benutzerkontos vorgenommen werden.Accelerating the authorization check by switching between 1: 1 authorization check and 1: N authorization check: This procedure is aimed at a concept of acceleration by differentiating and switching between processes of the 1: 1 authorization check and 1: N authorization check. The existing acceleration concept by switching between 1: 1 and 1: N authorization checks is implemented under the determination condition that the presence or absence of any input of an identifier to be subjected to the authorization check is determined, which is determined by the user as a condition for using the 1 : 1 authorization check is entered. In the environment where acceleration should be achieved, it is assumed that user accesses are made using the shared user account.

Beschleunigung durch Gruppieren: Bei dem Beschleunigungsansatz durch Gruppieren handelt es sich um ein Konzept, das eine Beschleunigung realisiert, indem ein Gruppieren zahlreicher Datenelemente durchgeführt wird, die der Berechtigungsprüfung unterzogen werden, und die Priorität in der Reihenfolge der Berechtigungsprüfung und dergleichen verwaltet. Dieser Ansatz kann wie folgt charakterisiert werden:Accelerating by grouping: The accelerating approach by grouping is a concept that realizes acceleration by grouping numerous data items that are subjected to the authorization check and managing the priority in the order of the authorization check and the like. This approach can be characterized as follows:

A) Zu verwenden beim Verringern des Datenbereichs, der in aufeinanderfolgenden Berechtigungsprüfungsrunden durchsucht werden soll, indem einfach eine Liste von Datenelementen erstellt wird, deren Berechtigungsprüfung erfolgreich war. Hierbei tritt ein Problem in der Umgebung mit einem gemeinsamen Benutzerkonto und mehreren Benutzern auf, bei der angenommen wird, dass alle der 1:N-Berechtigungsprüfung unterliegenden Benutzer die Berechtigungsprüfung täglich durchführen, und bei dem Prinzip einfache Ergebnisse der erfolgreichen Berechtigungsprüfung nicht zum Suchen nach Beschleunigungsmöglichkeiten verwendet werden können. A) To be used when reducing the data area to be searched in successive authentication rounds by simply creating a list of data items whose authentication was successful. Here there is a problem in the environment with a common user account and several users, in which it is assumed that all users subject to the 1: N authorization check carry out the authorization check daily, and with the principle of simple results of the successful authorization check not for searching for acceleration options can be used.

B) Ausführen eines vorgegebenen Gruppierens zum Zeitpunkt der Registrierung der Berechtigungsprüfung. Bei der Zielumgebung handelt es sich um eine Umgebung, bei der zwischen oder unter gruppierten Benutzern eine weitere Beschleunigung erforderlich ist. Dementsprechend ist eine Beschleunigung durch Sortieren zum Zeitpunkt der Registrierung der Berechtigungsprüfung als Beschleunigung in der Zielumgebung nicht zufriedenstellend.B) Execution of a predetermined grouping at the time of registration of the authorization check. The target environment is an environment that requires further acceleration between or among grouped users. Accordingly, acceleration by sorting at the time of registration of the authentication check as acceleration in the target environment is unsatisfactory.

C) Konzept im Zusammenhang mit der Umkonfiguration gruppierter Daten. Hierbei handelt es sich um ein Konzept, das im Zusammenhang mit der Aufrechterhaltung der Optimierung der Konfiguration der Gruppendaten steht und keinen erheblichen Beitrag zu einer Umgebung liefert, in der Zielgruppen im Wesentlichen feststehen.C) Concept related to the reconfiguration of grouped data. This is a concept that is related to maintaining the optimization of the configuration of the group data and does not make a significant contribution to an environment in which target groups are essentially established.

D) Konzept im Zusammenhang mit dem Durchsuchen anhand von Eigenschaftsdaten beim Gruppieren. Wirksam bei erheblichen Unterschieden in den Merkmalen von biometrischen Berechtigungsprüfungsdaten bei der Berechtigungsprüfung anhand von Gesichtern und dergleichen, aber nur eingeschränkte Auswirkungen bei der Berechtigungsprüfung anhand von Fingervenen und dergleichen.D) Concept related to browsing based on property data when grouping. Effective when there are significant differences in the characteristics of biometric authorization check data in the authorization check using faces and the like, but only limited effects in the authorization check using finger veins and the like.

Erhöhen des Wirkungsgrads durch Gruppieren von Berechtigungsprüfungsdaten derselben Person bei der 1:N-Berechtigungsprüfung. Trägt zu einer Zunahme bei den Berechtigungsprüfungsdaten derselben Person bei, hat jedoch nur begrenzte Auswirkungen auf die Zunahme der Gruppendaten.Increase efficiency by grouping authorization check data of the same person in the 1: N authorization check. Contributes to an increase in the same person's credential data, but has a limited impact on the increase in group data.

Ansätze zur Beschleunigung durch Gruppieren und 1:N-Umschalten und andere relevante Ansätze liegen je nach den Problemen reichlich vor, die durch Erfindungen nach dem Stand der Technik behandelt werden.Approaches to group acceleration and 1: N switching, and other relevant approaches, are plentiful depending on the problems addressed by prior art inventions.

Diese bestehenden Patentveröffentlichungen hängen jedoch oftmals von den speziellen Problemen ab, auf die sie angewendet werden, und stellen nicht zwangsläufig eine flexible Lösung bereit, die für alle vorstellbaren Fälle gilt. In der Technik besteht daher ein Bedarf zur Lösung des oben genannten Problems.However, these existing patent publications often depend on the specific problems to which they are applied and do not necessarily provide a flexible solution that applies to all conceivable cases. There is therefore a need in the art to solve the above problem.

KURZDARSTELLUNGSUMMARY

Unter einem ersten Blickwinkel betrachtet stellt die vorliegende Erfindung ein mittels Computer realisiertes Verfahren zur Berechtigungsprüfung von Benutzern an mehreren Endgeräten bereit, wobei das Verfahren die Schritte aufweist: a) durch einen Computer Empfangen von Benutzereingaben, um eine Berechtigungsprüfung auf einem Zielendgerät zu starten, die biometrische Eingaben vom Benutzer aufweist; b) durch den Computer Ermitteln, ob die vom Benutzer empfangenen biometrischen Eingaben angeben, dass derselbe Benutzer eine Berechtigungsprüfung auf dem Zielendgerät startet, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde; c) wenn es sich bei dem Benutzer um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde, durch den Computer Ausführen einer 1:1-Berechtigungsprüfung des Benutzers; d) wenn es sich bei dem Benutzer nicht um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde, durch den Computer: i) Abrufen von Einträgen aus einer Berechtigungsprüfungs-Prioritätstabelle für das Zielendgerät in einem aktuellen Zeitfenster; ii) Lesen eines Berechtigungsprüfungsstatus an anderen Endgeräten als dem Zielendgerät auf der Grundlage einer Berechtigungsprüfungs-Ergebnistabelle; iii) Erstellen einer zeitweiligen Berechtigungsprüfungs-Prioritätstabelle, die aufweist: Prioritätsinformationen für Benutzer für jedes Endgerät, Zeit, Endgeräteinformationen und Maskierung von Benutzern an Endgeräten auf der Grundlage der Berechtigungsprüfungs-Ergebnistabelle, wobei die Maskierung auf jeden Benutzer zutrifft, der bereits an Endgeräten angemeldet ist und bei dem es sich nicht um den Benutzer handelt, der gegenwärtig die Berechtigungsprüfung am Zielendgerät startet; iv) Ausführen einer 1:N-Berechtigungsprüfung des Benutzers unter Verwendung der zeitweiligen Berechtigungsprüfungstabelle; v) Ermitteln, ob die 1:N-Berechtigungsprüfung akzeptiert wurde; und v) wenn die 1:N-Berechtigungsprüfung akzeptiert wurde, durch den Computer Gewähren des Benutzerzugriffs auf das Zielendgerät und Speichern des Berechtigungsprüfungsergebnisses in der Berechtigungsprüfungs-Ergebnistabelle.Viewed from a first point of view, the present invention provides a computer-implemented method for checking the authorization of users on a plurality of terminals, the method comprising the steps of: a) receiving computer input by a computer in order to start an authorization check on a target terminal, the biometric Has input from the user; b) determined by the computer whether the biometric inputs received by the user indicate that the same user starts an authorization check on the target terminal that was last checked for authorization by the computer for the target terminal; c) if the user is the same user who was last checked for authorization by the computer for the target terminal, by the computer performing a 1: 1 authorization check of the user; d) if the user is not the same user who was last checked for authorization by the computer for the target terminal, by the computer: i) retrieving entries from an authorization check priority table for the target terminal in a current time window; ii) reading an authentication status at terminals other than the target terminal based on an authentication result table; iii) creating a temporary authentication priority table comprising: user priority information for each terminal, time, terminal information, and user masking on terminals based on the authentication result table, where the masking applies to any user who is already logged on to terminals and which is not the user who is currently starting the authorization check on the target terminal; iv) performing a 1: N authentication check of the user using the temporary authentication table; v) determining whether the 1: N authorization check has been accepted; and v) if the 1: N authentication check has been accepted, grant the computer user access to the target terminal and store the authentication result in the authentication result table.

Unter einem weiteren Blickwinkel betrachtet stellt die vorliegende Erfindung ein Computersystem zur Berechtigungsprüfung von Benutzern an mehreren Endgeräten bereit, das einen Computer aufweist, der mindestens einen Prozessor, einen oder mehrere Speicher und ein oder mehrere durch einen Computer lesbare Speichermedien aufweist, auf denen Programmanweisungen gespeichert sind, die durch den Computer ausführbar sind zum a) Empfangen von Benutzereingaben, die biometrische Eingaben vom Benutzer aufweisen, durch den Computer, um die Berechtigungsprüfung auf einem Zielendgerät zu starten; b) Ermitteln durch den Computer, ob die vom Benutzer empfangenen biometrischen Eingaben angeben, dass derselbe Benutzer eine Berechtigungsprüfung auf dem Zielendgerät startet, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde; c) wenn es sich bei dem Benutzer um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde, durch den Computer Ausführen einer 1:1-Berechtigungsprüfung des Benutzers; d) wenn es sich bei dem Benutzer nicht um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde, durch den Computer: i) Abrufen von Einträgen aus einer Berechtigungsprüfungs-Prioritätstabelle für das Zielendgerät in einem aktuellen Zeitfenster; ii) Lesen eines Berechtigungsprüfungsstatus an anderen Endgeräten als dem Zielendgerät auf der Grundlage einer Berechtigungsprüfungs-Ergebnistabelle; iii) Erstellen einer zeitweiligen Berechtigungsprüfungs-Prioritätstabelle, die aufweist: Prioritätsinformationen für Benutzer für jedes Endgerät, Zeit, Endgeräteinformationen und Maskierung von Benutzern an Endgeräten auf der Grundlage der Berechtigungsprüfungs-Ergebnistabelle, wobei die Maskierung auf jeden Benutzer zutrifft, der bereits an Endgeräten angemeldet ist und bei dem es sich nicht um den Benutzer handelt, der gegenwärtig die Berechtigungsprüfung am Zielendgerät startet; iv) Ausführen einer 1:N-Berechtigungsprüfung des Benutzers unter Verwendung der zeitweiligen Berechtigungsprüfungstabelle; v) Ermitteln, ob die 1:N-Berechtigungsprüfung akzeptiert wurde; und v) wenn die 1:N-Berechtigungsprüfung akzeptiert wurde, durch den Computer Gewähren des Benutzerzugriffs auf das Zielendgerät und Speichern des Berechtigungsprüfungsergebnisses in der Berechtigungsprüfungs-Ergebnistabelle. Viewed from a further perspective, the present invention provides a computer system for checking the authorization of users on a plurality of terminals, which has a computer which has at least one processor, one or more memories and one or more storage media which can be read by a computer and on which program instructions are stored executable by the computer for a) receiving, by the computer, user input having biometric input from the computer to start the authorization check on a target terminal; b) the computer determines whether the biometric inputs received from the user indicate that the same user starts an authorization check on the target terminal that was last checked for authorization by the computer for the target terminal; c) if the user is the same user who was last checked for authorization by the computer for the target terminal, by the computer performing a 1: 1 authorization check of the user; d) if the user is not the same user who was last checked for authorization by the computer for the target terminal, by the computer: i) retrieving entries from an authorization check priority table for the target terminal in a current time window; ii) reading an authentication status at terminals other than the target terminal based on an authentication result table; iii) creating a temporary authentication priority table comprising: user priority information for each terminal, time, terminal information, and user masking on terminals based on the authentication result table, where the masking applies to any user who is already logged on to terminals and which is not the user who is currently starting the authorization check on the target terminal; iv) performing a 1: N authentication check of the user using the temporary authentication table; v) determining whether the 1: N authorization check has been accepted; and v) if the 1: N authentication check has been accepted, grant the computer user access to the target terminal and store the authentication result in the authentication result table.

Unter einem weiteren Blickwinkel betrachtet stellt die vorliegende Erfindung ein Computerprogrammprodukt zur Berechtigungsprüfung von Benutzern an mehreren Endgeräten bereit, wobei das Computerprogrammprodukt ein durch einen Computer lesbares Speichermedium aufweist, das durch eine Verarbeitungsschaltung gelesen werden kann und auf dem Anweisungen zur Ausführung durch die Verarbeitungsschaltung gespeichert sind, um ein Verfahren zum Durchführen der Schritte der Erfindung durchzuführen.Viewed from a further point of view, the present invention provides a computer program product for checking the authorization of users on a plurality of terminals, the computer program product having a storage medium which can be read by a computer and can be read by a processing circuit and on which instructions for execution by the processing circuit are stored, to perform a method for performing the steps of the invention.

Unter einem weiteren Blickwinkel betrachtet stellt die vorliegende Erfindung ein Computerprogramm bereit, das auf einem durch einen Computer lesbaren Medium gespeichert ist und in den internen Hauptspeicher eines Digitalcomputers geladen werden kann, das Softwarecodeabschnitte aufweist, die beim Ausführen des Programms auf einem Computer zum Durchführen der Schritte der Erfindung dienen.From a broader perspective, the present invention provides a computer program that is stored on a computer readable medium and that can be loaded into the internal main memory of a digital computer that has software code portions that execute the steps when the program is executed on a computer serve the invention.

Gemäß einer Ausführungsform der vorliegenden Erfindung wird ein Verfahren zur Berechtigungsprüfung von Benutzern an mehreren Endgeräten offenbart. Das Verfahren weist die Schritte auf: a) durch einen Computer Empfangen von Benutzereingaben, um eine Berechtigungsprüfung auf einem Zielendgerät zu starten, die biometrische Eingaben vom Benutzer aufweist; b) durch den Computer Ermitteln, ob die vom Benutzer empfangenen biometrischen Eingaben angeben, dass derselbe Benutzer eine Berechtigungsprüfung auf dem Zielendgerät startet, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde; c) wenn es sich bei dem Benutzer um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde, durch den Computer Ausführen einer 1:1-Berechtigungsprüfung des Benutzers; und d) wenn es sich bei dem Benutzer nicht um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde. Durch den Computer: i) Abrufen von Einträgen aus einer Berechtigungsprüfungs-Prioritätstabelle für das Zielendgerät in einem aktuellen Zeitfenster; ii) Lesen eines Berechtigungsprüfungsstatus an anderen Endgeräten als dem Zielendgerät auf der Grundlage einer Berechtigungsprüfungs-Ergebnistabelle; iii) Erstellen einer zeitweiligen Berechtigungsprüfungs-Prioritätstabelle, die aufweist: Prioritätsinformationen für Benutzer für jedes Endgerät, Zeit, Endgeräteinformationen und Maskierung von Benutzern an Endgeräten auf der Grundlage der Berechtigungsprüfungs-Ergebnistabelle, wobei die Maskierung auf jeden Benutzer zutrifft, der bereits an Endgeräten angemeldet ist und bei dem es sich nicht um den Benutzer handelt, der gegenwärtig die Berechtigungsprüfung am Zielendgerät startet; iv) Ausführen einer 1:N-Berechtigungsprüfung des Benutzers unter Verwendung der zeitweiligen Berechtigungsprüfungstabelle; v) Ermitteln, ob die 1:N-Berechtigungsprüfung akzeptiert wurde; und v) wenn die 1:N-Berechtigungsprüfung akzeptiert wurde, durch den Computer Gewähren des Benutzerzugriffs auf das Zielendgerät und Speichern des Berechtigungsprüfungsergebnisses in der Berechtigungsprüfungs-Ergebnistabelle.According to one embodiment of the present invention, a method for checking the authorization of users on a plurality of terminals is disclosed. The method comprises the steps of: a) receiving user input by a computer in order to start an authorization check on a target terminal which has biometric input from the user; b) determined by the computer whether the biometric inputs received by the user indicate that the same user starts an authorization check on the target terminal that was last checked for authorization by the computer for the target terminal; c) if the user is the same user who was last checked for authorization by the computer for the target terminal, by the computer performing a 1: 1 authorization check of the user; and d) if the user is not the same user who was last checked for authorization by the computer for the target terminal. By the computer: i) retrieving entries from an authorization check priority table for the target terminal in a current time window; ii) reading an authentication status at terminals other than the target terminal based on an authentication result table; iii) creating a temporary authentication priority table comprising: user priority information for each terminal, time, terminal information, and user masking on terminals based on the authentication result table, where the masking applies to any user who is already logged on to terminals and which is not the user who is currently starting the authorization check on the target terminal; iv) performing a 1: N authentication check of the user using the temporary authentication table; v) determining whether the 1: N authorization check has been accepted; and v) if the 1: N authentication check has been accepted, grant the computer user access to the target terminal and store the authentication result in the authentication result table.

Gemäß einer weiteren Ausführungsform der vorliegenden Erfindung wird ein Computerprogrammprodukt zur Berechtigungsprüfung von Benutzern an mehreren Endgeräten offenbart. Das Computerprogrammprodukt nutzt einen Computer, der mindestens einen Prozessor, einen oder mehrere Speicher und ein oder mehrere durch einen Computer lesbare Speichermedien aufweist. Das Computerprogrammprodukt weist ein durch einen Computer lesbares Speichermedium auf, das darauf verkörperte Programmanweisungen aufweist. Die Programmanweisungen sind durch den Computer ausführbar, um ein Verfahren durchzuführen, das aufweist: a) Empfangen von Benutzereingaben, die biometrische Eingaben vom Benutzer aufweisen, durch den Computer, um die Berechtigungsprüfung auf einem Zielendgerät zu starten; b) Ermitteln durch den Computer, ob die vom Benutzer empfangenen biometrischen Eingaben angeben, dass derselbe Benutzer eine Berechtigungsprüfung auf dem Zielendgerät startet, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde; c) wenn es sich bei dem Benutzer um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde, durch den Computer Ausführen einer 1:1-Berechtigungsprüfung des Benutzers; d) wenn es sich bei dem Benutzer nicht um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde. Durch den Computer: i) Abrufen von Einträgen aus einer Berechtigungsprüfungs-Prioritätstabelle für das Zielendgerät in einem aktuellen Zeitfenster; ii) Lesen eines Berechtigungsprüfungsstatus an anderen Endgeräten als dem Zielendgerät auf der Grundlage einer Berechtigungsprüfungs-Ergebnistabelle; iii) Erstellen einer zeitweiligen Berechtigungsprüfungs-Prioritätstabelle, die aufweist: Prioritätsinformationen für Benutzer für jedes Endgerät, Zeit, Endgeräteinformationen und Maskierung von Benutzern an Endgeräten auf der Grundlage der Berechtigungsprüfungs-Ergebnistabelle, wobei die Maskierung auf jeden Benutzer zutrifft, der bereits an Endgeräten angemeldet ist und bei dem es sich nicht um den Benutzer handelt, der gegenwärtig die Berechtigungsprüfung am Zielendgerät startet; iv) Ausführen einer 1:N-Berechtigungsprüfung des Benutzers unter Verwendung der zeitweiligen Berechtigungsprüfungstabelle; v) Ermitteln, ob die 1:N-Berechtigungsprüfung akzeptiert wurde; und v) wenn die 1:N-Berechtigungsprüfung akzeptiert wurde, durch den Computer Gewähren des Benutzerzugriffs auf das Zielendgerät und Speichern des Berechtigungsprüfungsergebnisses in der Berechtigungsprüfungs-Ergebnistabelle.According to a further embodiment of the present invention, a computer program product for checking the authorization of users on a plurality of terminals is disclosed. The Computer program product uses a computer which has at least one processor, one or more memories and one or more storage media readable by a computer. The computer program product has a storage medium that can be read by a computer and has program instructions embodied thereon. The program instructions are executable by the computer to perform a method which comprises: a) the computer receiving user input, which includes biometric input from the user, to start the authorization check on a target terminal; b) the computer determines whether the biometric inputs received from the user indicate that the same user starts an authorization check on the target terminal that was last checked for authorization by the computer for the target terminal; c) if the user is the same user who was last checked for authorization by the computer for the target terminal, by the computer performing a 1: 1 authorization check of the user; d) if the user is not the same user who was last checked for authorization by the computer for the target terminal. By the computer: i) retrieving entries from an authorization check priority table for the target terminal in a current time window; ii) reading an authentication status at terminals other than the target terminal based on an authentication result table; iii) creating a temporary authentication priority table comprising: user priority information for each terminal, time, terminal information, and user masking on terminals based on the authentication result table, where the masking applies to any user who is already logged on to terminals and which is not the user who is currently starting the authorization check on the target terminal; iv) performing a 1: N authentication check of the user using the temporary authentication table; v) determining whether the 1: N authorization check has been accepted; and v) if the 1: N authentication check has been accepted, grant the computer user access to the target terminal and store the authentication result in the authentication result table.

Gemäß einer weiteren Ausführungsform der vorliegenden Erfindung wird ein Computersystem zur Berechtigungsprüfung von Benutzern an mehreren Endgeräten offenbart. Das Computersystem weist einen Computer auf, der mindestens einen Prozessor, einen oder mehrere Speicher, ein oder mehrere durch Computer lesbare Speichermedien aufweist, auf denen Programmanweisungen gespeichert sind, die durch den Computer ausführbar sind, um die Programmanweisungen auszuführen. Die Programmanweisungen weisen auf: a) Empfangen von Benutzereingaben, die biometrische Eingaben vom Benutzer aufweisen, durch den Computer, um die Berechtigungsprüfung auf einem Zielendgerät zu starten; b) Ermitteln durch den Computer, ob die vom Benutzer empfangenen biometrischen Eingaben angeben, dass derselbe Benutzer eine Berechtigungsprüfung auf dem Zielendgerät startet, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde; c) wenn es sich bei dem Benutzer um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde, durch den Computer Ausführen einer 1:1-Berechtigungsprüfung des Benutzers; d) wenn es sich bei dem Benutzer nicht um denselben Benutzer handelt, der zuletzt durch den Computer für das Zielendgerät auf Berechtigung geprüft wurde. Durch den Computer: i) Abrufen von Einträgen aus einer Berechtigungsprüfungs-Prioritätstabelle für das Zielendgerät in einem aktuellen Zeitfenster; ii) Lesen eines Berechtigungsprüfungsstatus an anderen Endgeräten als dem Zielendgerät auf der Grundlage einer Berechtigungsprüfungs-Ergebnistabelle; iii) Erstellen einer zeitweiligen Berechtigungsprüfungs-Prioritätstabelle, die aufweist: Prioritätsinformationen für Benutzer für jedes Endgerät, Zeit, Endgeräteinformationen und Maskierung von Benutzern an Endgeräten auf der Grundlage der Berechtigungsprüfungs-Ergebnistabelle, wobei die Maskierung auf jeden Benutzer zutrifft, der bereits an Endgeräten angemeldet ist und bei dem es sich nicht um den Benutzer handelt, der gegenwärtig die Berechtigungsprüfung am Zielendgerät startet; iv) Ausführen einer 1:N-Berechtigungsprüfung des Benutzers unter Verwendung der zeitweiligen Berechtigungsprüfungstabelle; v) Ermitteln, ob die 1:N-Berechtigungsprüfung akzeptiert wurde; und v) wenn die 1:N-Berechtigungsprüfung akzeptiert wurde, durch den Computer Gewähren des Benutzerzugriffs auf das Zielendgerät und Speichern des Berechtigungsprüfungsergebnisses in der Berechtigungsprüfungs-Ergebnistabelle.According to a further embodiment of the present invention, a computer system for checking the authorization of users on a plurality of terminals is disclosed. The computer system has a computer which has at least one processor, one or more memories, one or more computer-readable storage media on which program instructions are stored which can be executed by the computer in order to execute the program instructions. The program instructions include: a) the computer receiving user input that has biometric input from the user to start the authorization check on a target terminal; b) the computer determines whether the biometric inputs received from the user indicate that the same user starts an authorization check on the target terminal that was last checked for authorization by the computer for the target terminal; c) if the user is the same user who was last checked for authorization by the computer for the target terminal, by the computer performing a 1: 1 authorization check of the user; d) if the user is not the same user who was last checked for authorization by the computer for the target terminal. By the computer: i) retrieving entries from an authorization check priority table for the target terminal in a current time window; ii) reading an authentication status at terminals other than the target terminal based on an authentication result table; iii) creating a temporary authentication priority table comprising: user priority information for each terminal, time, terminal information, and user masking on terminals based on the authentication result table, where the masking applies to any user who is already logged on to terminals and which is not the user who is currently starting the authorization check on the target terminal; iv) performing a 1: N authentication check of the user using the temporary authentication table; v) determining whether the 1: N authorization check has been accepted; and v) if the 1: N authentication check has been accepted, grant the computer user access to the target terminal and store the authentication result in the authentication result table.

FigurenlisteFigure list

Im Folgenden werden Ausführungsformen der vorliegenden Erfindung unter Bezugnahme auf die beigefügten Zeichnungen beispielhaft beschrieben, wobei:

1 ein beispielhaftes Schema einer möglichen Systemkonfiguration einer Datenverarbeitungsumgebung darstellt, in der bevorzugte Ausführungsformen der vorliegenden Erfindung realisiert sein können.
2 ein Flussdiagramm einer Berechtigungsprüfungsausführung gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung zeigt;
3 ein Flussdiagramm einer Analyse von Berechtigungsprüfungsergebnissen gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung zeigt;
die 4A und 4B ein Beispiel der Relevanz zwischen Endgeräten gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung zeigen;
5 ein Flussdiagramm der Aufrechterhaltung von Berechtigungsprüfungsergebnissen gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung zeigt;
6 ein Flussdiagramm der Ausführung einer 1:N-Berechtigungsprüfung gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung zeigt;
7 interne und externe Komponenten eines Client-Computers und eines Server-Computers veranschaulicht, in denen veranschaulichende Ausführungsformen realisiert sein können.

Embodiments of the present invention will now be described by way of example with reference to the accompanying drawings, in which:

1 illustrates an exemplary schematic of a possible system configuration of a data processing environment in which preferred embodiments of the present invention can be implemented.
2nd Figure 3 shows a flowchart of an authentication process in accordance with a preferred embodiment of the present invention;
3rd Figure 3 shows a flowchart of an analysis of authentication results according to a preferred embodiment of the present invention;
the 4A and 4B show an example of relevance between terminals according to a preferred embodiment of the present invention;
5 Figure 3 shows a flowchart of maintaining authentication results in accordance with a preferred embodiment of the present invention;
6 FIG. 4 shows a flow diagram of the execution of a 1: N authorization check according to a preferred embodiment of the present invention;
7 illustrates internal and external components of a client computer and a server computer, in which illustrative embodiments may be implemented.

AUSFÜHRLICHE BESCHREIBUNGDETAILED DESCRIPTION

Das vorliegende System schlägt neue Mittel zum Verbessern der Leistung der Berechtigungsprüfung eines Berechtigungsprüfungssystems vor, das eine große Anzahl von Berechtigungsprüfungen wie zum Beispiel biometrische Berechtigungsprüfungen unter Verwendung eines gemeinsamen Benutzerkontos zur Anmeldung am Endgerät durchführen muss.The present system proposes new means to improve the performance of the authentication process of an authentication system that has to perform a large number of authentication tests, such as biometric authentication, using a common user account to log on to the terminal.

Dieses System betrifft eine Verbesserung bei der 1:N-Berechtigungsprüfung, bei der ein Quelldatenelement, das eingegeben wurde, um der Berechtigungsprüfung unterzogen zu werden, mit mehreren oder zahlreichen Elementen registrierter Berechtigungsprüfungsdaten verglichen werden muss.This system relates to an improvement in the 1: N authentication check, in which a source data item that has been entered to be subjected to the authentication check has to be compared with several or numerous items of registered authentication data.

Das System erreicht eine Leistungsverbesserung der Berechtigungsprüfung durch Auswählen geeigneter Arten von Berechtigungsprüfungen und außerdem durch Optimieren der Berechtigungsprüfungsabfolge.The system improves the performance of the authorization check by selecting suitable types of authorization checks and also by optimizing the authorization check sequence.

Als Optimierungselement bei der Berechtigungsprüfung wählt das System Berechtigungsprüfungsart und Berechtigungsprüfungsreihenfolge auf der Grundlage von Verteilungsdaten von Benutzern und Endgeräten aus.As an optimization element in the authorization check, the system selects the type of authorization check and the sequence of authorization checks based on distribution data from users and end devices.

Des Weiteren verbessert dieses System die Genauigkeit, um die Berechtigungsprüfungsdaten nicht nur aus Daten eines einzigen Endgeräts, sondern durch dynamisches Verwenden einer „gegenseitigen Verwendungskorrelation zwischen Endgeräten“ zu erhalten.Furthermore, this system improves the accuracy to obtain the authentication data not only from data of a single terminal but by dynamically using a “mutual correlation between terminals”.

Darüber hinaus schlägt dieses System als Verfahren zur Optimierung der Berechtigungsprüfungsabfolge ein Modifizierungskonzept durch Konzentrieren auf die Berechtigungsprüfungssituation vor, in der Bediener mehrere Endgeräte gleichzeitig nutzen, während der Reihe nach umgeschaltet wird.In addition, as a method for optimizing the authorization check sequence, this system proposes a modification concept by concentrating on the authorization check situation in which operators use several terminals simultaneously while switching over in sequence.

Funktionen des Verfahrens können jeweils die 1:N-Berechtigungsprüfung biometrischer Berechtigungsprüfung verbessern. Jedes der im Folgenden aufgeführten Merkmale trägt unabhängig zur Leistungsverbesserung bei. Daher kann eine jedem Verfahren entsprechende Leistungsverbesserung erreicht werden, selbst wenn nur zwei Elemente verwendet werden.Functions of the method can each improve the 1: N authorization check of biometric authorization check. Each of the features listed below independently contribute to improving performance. Therefore, a performance improvement corresponding to each method can be achieved even if only two elements are used.

Zu diesen Merkmalen gehören eine Berechtigungsprüfungspriorität auf der Grundlage dynamischer und virtueller Gruppierung zur Berechtigungsprüfung verwendeter Endgeräte, die zu einer Effizienzverbesserung der Berechtigungsprüfungs-Prioritätsabfolge bei der 1:N-Berechtigungsprüfung führt, eine Hybrid-Berechtigungsprüfung durch Umschalten der Berechtigungsprüfungslogik zwischen 1:1- und 1:N-Berechtigungsprüfung, die die Selektivität der Berechtigungsprüfung verbessert, und Maskieren eines bereits angemeldeten Benutzers für die Berechtigungsprüfungs-Prioritätsliste bei der 1:N-Berechtigungsprüfung zur Effizienzverbesserung der Berechtigungsprüfungs-Prioritätsabfolge bei der 1:N-Berechtigungsprüfung. Zu den Merkmalen gehört außerdem das Erhalten von Berechtigungsprüfungsdaten, in denen die Berechtigungsprüfungsdaten der biometrischen Informationen des Benutzers bei der Ausführung der Berechtigungsprüfung des Benutzers gespeichert werden, sowie die Speicherung von Berechtigungsprüfungsdaten (zum Beispiel von biometrischen Daten), der Berechtigungsprüfungsliste, von Benutzerinformationen, Endgeräteinformationen, Endgerätegruppierungsdaten usw.These features include an authorization check priority based on dynamic and virtual grouping of devices used for the authorization check, which improves the efficiency of the authorization check priority sequence in the 1: N authorization check, a hybrid authorization check by switching the authorization check logic between 1: 1 and 1 : N authorization check, which improves the selectivity of the authorization check, and masking a user who is already logged in for the authorization check priority list in the 1: N authorization check to improve the efficiency of the authorization check priority sequence in the 1: N authorization check. The features also include the receipt of authorization check data, in which the authorization check data of the biometric information of the user is stored when the user carries out the authorization check, and the storage of authorization check data (for example biometric data), the authorization check list, user information, terminal information, Terminal grouping data, etc.

Bei Betrachtung einer Ausführungsform von Berechtigungsprüfung in einem Fall, in dem ein gemeinsames Benutzerkonto genutzt wird und mehrere Benutzer mehrere gemeinsame Endgeräte nutzen, konzentriert sich dieses System auf die Fehlverteilung von Berechtigungsprüfungs-Nutzungszeitraum und die Verwendung von Endgeräten durch jeden Benutzer.When considering an embodiment of authorization check in a case in which a common user account is used and several users use several common terminals This system relates to the mis-distribution of authorization check usage period and the use of end devices by every user.

Anschließend nutzt dieses System diese Fehlverteilung, um die Leistung der Berechtigungsprüfung zu verbessern. Zunächst wird das Berechtigungsprüfungsergebnis in einer tatsächlichen Umgebung aufgezeichnet, und anschließend werden die Daten analysiert, um eine Berechtigungsprüfungspriorität je Endgerät und Nutzungszeitraum zu ermitteln und schließlich eine derartige Prioritätstabelle zu speichern.This system then uses this mis-distribution to improve the performance of the authorization check. First, the authorization check result is recorded in an actual environment, and then the data is analyzed in order to determine an authorization check priority per terminal and period of use and finally to save such a priority table.

Während der Berechtigungsprüfung liest das System die Prioritätstabelle entsprechend dem Endgerät und Nutzungszeitraum aus. Eine Berechtigungsprüfung erfolgt bevorzugt mit einer minimalen Anzahl von Berechtigungsprüfungen unter Verwendung der auf einer ungleichmäßigen Verteilung beruhenden Prioritätstabelle.During the authorization check, the system reads the priority table according to the device and period of use. An authorization check is preferably carried out with a minimum number of authorization checks using the priority table based on an uneven distribution.

Im tatsächlichen Gebrauch nutzen Benutzer oftmals mehrere Endgeräte, an denen sich Benutzer unter freier Verwendung eines gemeinsamen Benutzerkontos anmelden konnten. Um eine Optimierung entsprechend der Nutzungssituation des Endgeräts durchzuführen, es ist daher effektiv, die Endgeräte als Datenzusammenfassungsziel zu gruppieren.In actual use, users often use multiple devices on which users could log in using a common user account. In order to optimize according to the usage situation of the end device, it is therefore effective to group the end devices as a data summary target.

In der Vergangenheit wurden als Gruppierungsverfahren ein Gruppieren auf der Grundlage des physischen Standorts des Endgeräts und ein Gruppieren nach den Informationen über die Organisation vorgeschlagen, zu der das Endgerät gehört. Bei diesen Verfahren handelt es sich jedoch um Gruppierungsverfahren, die entsprechend der tatsächlichen Nutzungsform von Benutzern kein optimiertes Mittel bilden.In the past, grouping methods based on the physical location of the terminal and grouping based on information about the organization to which the terminal belongs have been proposed. However, these methods are grouping methods which do not constitute an optimized means in accordance with the actual form of use by users.

Als Mittel zum Lösen des Problems des bestehenden Gruppierungskonzepts erreicht das vorliegende System eine Optimierung der Berechtigungsprüfungsabfolge, die nicht nur Nutzungsdaten von einem einzelnen Endgerät berücksichtigt, sondern auch diejenigen von Endgeräten, bei denen eine Abhängigkeitsbeziehung untereinander besteht, indem ein dynamisches Verhältnis zwischen Endgeräten und virtueller Gruppierung der Endgeräte berechnet wird.As a means of solving the problem of the existing grouping concept, the present system achieves an optimization of the authorization check sequence, which takes into account not only usage data from a single end device, but also that of end devices, in which there is a dependency relationship between one another, by a dynamic relationship between end devices and virtual grouping the end devices is calculated.

Insbesondere schlägt dieses System vor, die Bewegung von Benutzern zwischen Endgeräten zu verwenden, um eine Abhängigkeitsbeziehung zwischen den Endgeräten zu berechnen. Ungeachtet der physischen Nähe des Endgeräts ist somit die Abhängigkeit beim Gebrauch dieser Endgeräte hoch, wenn ein einzelner Benutzer mehrere Endgeräte häufig nutzt, indem er sich zwischen den jeweiligen Endgeräten bewegt.In particular, this system suggests using the movement of users between terminals to calculate a dependency relationship between the terminals. Regardless of the physical proximity of the end device, the dependency on the use of these end devices is high if a single user frequently uses multiple end devices by moving between the respective end devices.

Außerdem ist es durch dynamisches Berechnen der Abhängigkeit unter Verwendung von Daten in einem zurückliegenden feststehenden Zeitraum möglich, eine Optimierung der Berechtigungsprüfung entsprechend der Nutzungstendenz eines Endgerätebenutzers durchzuführen.In addition, by dynamically calculating the dependency using data in a past fixed period, it is possible to optimize the authorization check according to the usage tendency of a terminal user.

Unter Ausnutzung dieser Abhängigkeit verwendet dieses System Nutzungsdaten von allen Endgeräten mit dynamischer Abhängigkeit und berechnet das Ergebnis mit Korrelationsfaktor als Gewichtungsfaktoren, um eine geeignete Berechtigungsprüfungsabfolge zu erhalten.Taking advantage of this dependency, this system uses usage data from all end devices with dynamic dependency and calculates the result with correlation factor as weighting factors in order to obtain a suitable authorization check sequence.

1 stellt ein beispielhaftes Schema einer möglichen Systemkonfiguration einer Datenverarbeitungsumgebung dar, in der veranschaulichende Ausführungsformen realisiert sein können. 1 FIG. 4 illustrates an example schematic of a possible system configuration of a computing environment in which illustrative embodiments may be implemented.

1 ist ein beispielhaftes Schema einer bereitgestellten möglichen Datenverarbeitungsumgebung, in der veranschaulichende Ausführungsformen realisiert sein können. Es sollte klar sein, dass die 1 lediglich beispielhaft und nicht als Aussage über Einschränkungen oder stillschweigende Einschränkungen hinsichtlich der Umgebungen gedacht ist, in denen unterschiedliche Ausführungsformen realisiert werden können. An den abgebildeten Umgebungen können viele Abänderungen vorgenommen werden. 1 FIG. 4 is an example schematic of a provided possible computing environment in which illustrative embodiments may be implemented. It should be clear that the 1 is only intended as an example and is not intended as a statement about restrictions or tacit restrictions with regard to the environments in which different embodiments can be implemented. Many changes can be made to the environments shown.

Unter Bezugnahme auf 1 handelt es sich bei dem Netzwerkdatenverarbeitungssystem 100 um ein Netzwerk aus Computern, in dem veranschaulichende Ausführungsformen realisiert sein können. Das Netzwerkdatenverarbeitungssystem 100 enthält mindestens ein Netzwerk 101, bei dem es sich um das Medium handelt, das Datenaustauschverbindungen zwischen verschiedenen Einheiten und Computern bereitstellt, die innerhalb des verteilten Netzwerkdatenverarbeitungssystems 100 miteinander verbunden sind. Das Netzwerk 101 kann Verbindungen wie z.B. drahtgebundene oder drahtlose Datenaustauschverbindungen oder Lichtwellenleiter beinhalten.With reference to 1 is the network data processing system 100 a network of computers in which illustrative embodiments may be implemented. The network data processing system 100 contains at least one network 101 , which is the medium that provides data exchange connections between various devices and computers operating within the distributed network computing system 100 are interconnected. The network 101 may include connections such as wired or wireless data exchange connections or optical fibers.

Bei dem dargestellten Beispiel sind ein Endgeräteeinheitencomputer 102, ein Berechtigungsprüfungs-Servercomputer 105, ein Geschäftssystem 120 einschließlich eines Geschäftsservers 121 über ein Netzwerk 124 mit einem Datenbankserver 125 und einer Datenablage (Repository) 127 verbunden. Bei anderen beispielhaften Ausführungsformen kann ein Netzwerkdatenverarbeitungssystem 51 weitere Client- oder Einheitencomputer, Speichereinheiten oder Datenablagen, Servercomputer und andere, nicht gezeigte Einheiten beinhalten. In the example shown, a terminal unit computer 102 , an authentication server computer 105 , a business system 120 including a business server 121 over a network 124 with a database server 125 and a data repository 127 connected. In other exemplary embodiments, a network computing system 51 include further client or unit computers, storage units or data stores, server computers and other units, not shown.

Der Endgeräteeinheitencomputer 102 kann einen Webbrowser 103 enthalten, der eine Schnittstelle beinhalten kann, die Befehle und Dateneingaben von einem Benutzer aufnehmen kann. Der Endgeräteeinheitencomputer 102 kann außerdem einen Prozessor und zugehörige Sensoren 104 beinhalten, um Berechtigungsprüfungsdaten von einem Benutzer zu lesen und zu empfangen. Die Befehle können Anmeldeinformationen betreffen. Bei der Schnittstelle kann es sich zum Beispiel um eine Befehlszeilenschnittstelle, eine grafische Benutzeroberfläche (graphical user interface, GUI), ein Natural User Interface (NUI) oder um eine berührungsempfindliche Benutzeroberfläche (touch user interface, TUI) handeln. Der Endgeräteeinheitencomputer 102 beinhaltet einen Satz interner Komponenten 800a und einen Satz externer Komponenten 900a, die in 7 weiter veranschaulicht sind.The terminal unit computer 102 can use a web browser 103 included, which may include an interface that can receive commands and data input from a user. The terminal unit computer 102 can also have a processor and associated sensors 104 include to read and receive authentication data from a user. The commands can affect credentials. The interface can, for example, be a command line interface, a graphical user interface (GUI), a natural user interface (NUI) or a touch-sensitive user interface (TUI). The terminal unit computer 102 includes a set of internal components 800a and a set of external components 900a , in the 7 are further illustrated.

Der Berechtigungsprüfungs-Servercomputer 105 beinhaltet einen Satz interner Komponenten 800b und einen Satz externer Komponenten 900b, die in 7 weiter veranschaulicht sind. Bei dem dargestellten Beispiel stellt der Servercomputer 105 dem Endgeräteeinheitencomputer 102 Informationen wie zum Beispiel Boot-Dateien, Betriebssystemabbilder und Anwendungen bereit. Der Berechtigungsprüfungs-Servercomputer 105 kann die Informationen lokal berechnen oder die Informationen von anderen Computern im Netzwerk 101 extrahieren. Der Berechtigungsprüfungs-Servercomputer 105 enthält außerdem vorzugsweise ein Berechtigungsprüfungsprogramm 66. Der Berechtigungsprüfungs-Servercomputer 106 enthält mindestens einen Prozessor 107 und einen zugehörigen Hauptspeicher 106, der mit einer Datenablage 108 verbunden ist. Der Prozessor 107 führt Steuerfunktionen 114 aus. Die Datenablage 108 enthält vorzugsweise Berechtigungsprüfungsdaten, zum Beispiel in einer Datenbank 109 für biometrische Daten, eine Berechtigungsprüfungs-Ergebnisdatenbank 110, eine Endgerätenutzungsdatenbank 111, eine Endgerätebeziehungsdatenbank 112 und eine Berechtigungsprüfungs-Prioritätsdatenbank 113. Zu den Steuerfunktionen 114 gehören, ohne darauf beschränkt zu sein, Merkmale zum Erhalten von Berechtigungsprüfungsdaten 115, Funktionen zum Ausführen der Hybrid-Berechtigungsprüfung 116, Funktionen zum Berechnen einer Endgerätebeziehung 117, Funktionen zum Erstellen einer Berechtigungsprüfungs-Prioritätsliste 118 und eine Datenbank 119 für biometrische Berechtigungsprüfungsdaten.The authentication server computer 105 includes a set of internal components 800b and a set of external components 900b , in the 7 are further illustrated. In the example shown, the server computer provides 105 the terminal unit computer 102 Information such as boot files, operating system images and applications. The authentication server computer 105 can calculate the information locally or the information from other computers on the network 101 extract. The authentication server computer 105 preferably also includes an authentication program 66 . The authentication server computer 106 contains at least one processor 107 and an associated main memory 106 with a data storage 108 connected is. The processor 107 performs control functions 114 out. The data storage 108 preferably contains authorization check data, for example in a database 109 for biometric data, an authentication result database 110 , a terminal usage database 111 , a terminal relationship database 112 and an authentication priority database 113 . To the control functions 114 include, but are not limited to, features for obtaining credential data 115 , Functions for executing the hybrid authorization check 116 , Functions for calculating a terminal relationship 117 , Functions for creating an authorization check priority list 118 and a database 119 for biometric authentication data.

Das Geschäftssystem 120 weist einen Geschäftsserver 121, zum Beispiel einen Webserver 122, mit einer Webanwendung 123 auf. Der Geschäftsserver 125 ist über ein internes Netzwerk 124 mit einem Datenbankserver 125 verbunden, der ein Datenbanksystem 126 und eine zugehörige Datenablage 127 beinhaltet. Der Webserver 122 und der Datenbankserver 125 beinhalten einen Satz interner Komponenten 800b und einen zweiten aus externen Komponenten 900b, die in 7 veranschaulicht sind. Der Webserver 122 und der Datenbankserver 125 können die Informationen lokal berechnen und die Informationen von anderen Computern im Netzwerk 124 und Netzwerk 101 extrahieren.The business system 120 assigns a business server 121 , for example a web server 122 , with a web application 123 on. The business server 125 is through an internal network 124 with a database server 125 connected to a database system 126 and an associated data storage 127 includes. The web server 122 and the database server 125 include a set of internal components 800b and a second one from external components 900b , in the 7 are illustrated. The web server 122 and the database server 125 can calculate the information locally and the information from other computers on the network 124 and network 101 extract.

Programmcode und Programme wie zum Beispiel das Berechtigungsprüfungsprogramm 66 können auf mindestens einer von einer oder mehreren durch einen Computer lesbaren physischen Speichereinheiten 830, die in 7 gezeigt sind, auf mindestens einer von einer oder mehreren transportablen, durch einen Computer lesbaren physischen Speichereinheiten 936, wie in 7 gezeigt, oder in der Datenablage 108 gespeichert sein oder zur Verwendung auf einen Endgeräteeinheitencomputer 102, einen Berechtigungsprüfungs-Servercomputer 105 oder einen Geschäftsservercomputer 121 heruntergeladen werden. Zum Beispiel können Programmcode und Programme wie zum Beispiel das Berechtigungsprüfungsprogramm 66 auf mindestens einer von einer oder mehreren Speichereinheiten 830 auf dem Berechtigungsprüfungs-Servercomputer 105 gespeichert sein und zur Verwendung auf den Endgeräteeinheitencomputer 102 über das Netzwerk 101 heruntergeladen werden. Alternativ kann es sich bei dem Berechtigungsprüfungs-Servercomputer 105 um einen Webserver handeln, und der Programmcode und die Programme wie zum Beispiel das Berechtigungsprüfungsprogramm 66 können auf mindestens einer der einen oder der mehreren Speichereinheiten 830 auf dem Berechtigungsprüfungs-Servercomputer 105 gespeichert sein und durch den Endgeräteeinheitencomputer 102 aufgerufen werden. Ebenso handelt es sich bei dem Geschäftsserver vorzugsweise um einen Webserver 122. Bei anderen beispielhaften Ausführungsformen können der Programmcode und Programme wie zum Beispiel das Berechtigungsprüfungsprogramm 66 auf mindestens einer von einer oder mehreren durch einen Computer lesbaren Speichereinheiten 830 auf dem Endgeräteeinheitencomputer 102 gespeichert oder auf zwei oder mehr Server verteilt sein.Program code and programs such as the authorization check program 66 can be stored on at least one of one or more computer-readable physical storage devices 830 , in the 7 are shown on at least one of one or more portable, computer-readable physical storage units 936 , as in 7 shown, or in the data storage 108 stored or for use on a terminal unit computer 102 , an authentication server computer 105 or a business server computer 121 can be downloaded. For example, program code and programs such as the authentication program 66 on at least one of one or more storage units 830 on the authentication server computer 105 stored and for use on the terminal unit computer 102 over the network 101 can be downloaded. Alternatively, it can be the authentication server computer 105 act as a web server, and the program code and programs such as the authentication program 66 can be stored on at least one of the one or more storage units 830 on the authentication server computer 105 be stored and by the terminal unit computer 102 be called. Likewise, the business server is preferably a web server 122 . In other exemplary embodiments, the program code and programs such as the authentication program 66 on at least one of one or more computer readable storage devices 830 on the terminal unit computer 102 stored or distributed across two or more servers.

Bei dem dargestellten Beispiel handelt es sich bei dem Netzwerkdatenverarbeitungssystem 100 um das Internet, wobei das Netzwerk 101 für eine weltweit verteilte Ansammlung von Netzwerken und Gateways steht, die zum Datenaustausch untereinander die Protokollreihe des Transmission Control Protocol/Internet Protocol (TCP/IP) nutzen. Das Herzstück des Internets bildet ein Hauptstrang (Backbone) aus schnellen Datenübertragungsleitungen zwischen Hauptknoten bzw. Host-Computern, die aus tausenden von Computersystemen für Wirtschaft, Behörden und Bildungsinstitutionen sowie anderen Computersystemen bestehen, die Daten und Nachrichten weiterleiten. Selbstverständlich kann das Netzwerkdatenverarbeitungssystem 100 auch in Form einer Anzahl unterschiedlicher Arten von Netzwerken realisiert sein, zum Beispiel in Form eines Intranets, eines lokalen Netzwerks (local area network, LAN) oder eines Weitverkehrsnetzwerks (wide area network, WAN). 1 ist als Beispiel und nicht als Einschränkung der Architektur der unterschiedlichen veranschaulichenden Ausführungsformen gedacht. In the example shown, the network data processing system is concerned 100 around the internet, being the network 101 stands for a globally distributed collection of networks and gateways that use the protocol series of the Transmission Control Protocol / Internet Protocol (TCP / IP) to exchange data with each other. At the heart of the Internet is a main line (backbone) of fast data transmission lines between main nodes or host computers, which consist of thousands of computer systems for business, government agencies and educational institutions, as well as other computer systems that forward data and messages. Of course, the network data processing system 100 can also be implemented in the form of a number of different types of networks, for example in the form of an intranet, a local area network (LAN) or a wide area network (WAN). 1 is intended as an example and not as a limitation on the architecture of the different illustrative embodiments.

7 veranschaulicht interne und externe Komponenten eines Endgeräteeinheitencomputers 102, eines Berechtigungsprüfungsservers 105, eines Geschäftsservercomputers 121 und eines Datenbankservercomputers 125, in denen veranschaulichende Ausführungsformen realisiert sein können. In 7 beinhalten ein Endgeräteeinheitencomputer 102, ein Berechtigungsprüfungs-Servercomputer 105, ein Geschäftsservercomputer 121 und ein Datenbankservercomputer 125 jeweilige Sätze interner Komponenten 800a, 800b und externer Komponenten 900a, 900b. Jeder der Sätze interner Komponenten 800a, 800b beinhaltet einen oder mehrere Prozessoren 820, einen oder mehrere durch einen Computer lesbare RAMs 822 und einen oder mehrere durch einen Computer lesbare ROMs 824 an einem oder mehreren Bussen 826, ein oder mehrere Betriebssysteme 828 und eine oder mehrere durch einen Computer lesbare physische Speichereinheiten 830 auf. Das eine oder die mehreren Betriebssysteme 828 und das Berechtigungsprüfungsprogramm 66 sind zur Ausführung durch einen oder mehrere der Prozessoren 820 über einen oder mehrere der RAMs 822 (die normalerweise Cache-Speicher beinhalten) auf einer oder mehreren der durch einen Computer lesbaren physischen Speichereinheiten 830 gespeichert. Bei der in 7 veranschaulichten Ausführungsform handelt es sich bei jeder der durch einen Computer lesbaren physischen Speichereinheiten 830 um eine Magnetplattenspeichereinheit einer internen Festplatte. Alternativ handelt es sich bei jeder der durch einen Computer lesbaren physischen Speichereinheiten 830 um eine Halbleiterspeichereinheit wie zum Beispiel einen ROM 824, einen EPROM, einen Flash-Speicher oder um eine beliebige andere durch einen Computer lesbare physische Speichereinheit, auf der ein Computerprogramm und digitale Daten gespeichert sein können. 7 illustrates internal and external components of a terminal unit computer 102 , an authentication server 105 , a business server computer 121 and a database server computer 125 in which illustrative embodiments may be implemented. In 7 include a terminal unit computer 102 , an authentication server computer 105 , a business server computer 121 and a database server computer 125 respective sets of internal components 800a , 800b and external components 900a , 900b . Each of the sets of internal components 800a , 800b includes one or more processors 820 , one or more computer readable RAMs 822 and one or more computer readable ROMs 824 on one or more buses 826 , one or more operating systems 828 and one or more computer readable physical storage devices 830 on. The one or more operating systems 828 and the authentication program 66 are for execution by one or more of the processors 820 through one or more of the RAMs 822 (which usually include caches) on one or more of the physical memory units readable by a computer 830 saved. At the in 7 The illustrated embodiment is each of the computer readable physical storage devices 830 a magnetic disk storage unit of an internal hard disk. Alternatively, each of the computer-readable physical storage devices 830 a semiconductor memory device such as a ROM 824 , an EPROM, a flash memory or any other computer-readable physical storage unit on which a computer program and digital data can be stored.

Jeder Satz interner Komponenten 800a, 800b beinhaltet außerdem ein Lese/Schreib-Laufwerk oder eine Lese/Schreib-Schnittstelle 832 zum Lesen von einer oder mehreren bzw. Schreiben auf eine oder mehrere transportable, durch einen Computer lesbare physische Speichereinheiten 936 wie z.B. CD-ROM, DVD, Memory-Stick, Magnetband, Magnetplatte, optische Platte oder Halbleiterspeichereinheit. Das Berechtigungsprüfungsprogramm 66 kann auf einer oder mehreren der transportablen, durch einen Computer lesbaren physischen Speichereinheiten 936 gespeichert sein, über ein Lese/Schreib-Laufwerk oder eine Lese/Schreib-Schnittstelle 832 gelesen und auf ein oder mehrere Festplattenlaufwerke 830 geladen werden.Any set of internal components 800a , 800b also includes a read / write drive or a read / write interface 832 for reading from or writing to or writing to one or more portable, computer-readable physical storage units 936 such as CD-ROM, DVD, memory stick, magnetic tape, magnetic disk, optical disk or semiconductor storage unit. The authorization check program 66 can reside on one or more of the portable, computer readable physical storage devices 936 be stored, via a read / write drive or a read / write interface 832 read and on one or more hard drives 830 Loading.

Jeder Satz interner Komponenten 800a, 800b beinhaltet außerdem einen Netzwerkadapter oder eine Netzwerkschnittstelle 836 wie z.B. eine TCP/IP-Adapterkarte. Das Berechtigungsprüfungsprogramm 66 kann von einem externen Computer über ein Netzwerk (zum Beispiel das Internet, ein lokales Netzwerk oder ein anderes Weitverkehrsnetzwerk) und über den Netzwerkadapter oder die Netzwerkschnittstelle 836 auf den Endgeräteeinheitencomputer 102 und den Berechtigungsprüfungs-Servercomputer 105 heruntergeladen werden. Vom Netzwerkadapter oder von der Netzwerkschnittstelle 836 wird das Berechtigungsprüfungsprogramm 66 auf das Festplattenlaufwerk 830 geladen. Das Berechtigungsprüfungsprogramm 66 kann von einem externen Computer über ein Netzwerk (zum Beispiel das Internet, ein lokales Netzwerk oder ein anderes Weitverkehrsnetzwerk) und über den Netzwerkadapter oder die Netzwerkschnittstelle 836 auf den Berechtigungsprüfungs-Servercomputer 105 heruntergeladen werden. Vom Netzwerkadapter oder von der Netzwerkschnittstelle 836 wird das Berechtigungsprüfungsprogramm 66 auf das Festplattenlaufwerk 830 geladen. Das Netzwerk kann Kupferleitungen, Lichtwellenleiter, drahtlose Übertragung, Router, Firewalls, Switches, Gateway-Computer und/oder Edge-Server aufweisen.Any set of internal components 800a , 800b also includes a network adapter or network interface 836 such as a TCP / IP adapter card. The authorization check program 66 can be from an external computer via a network (for example the Internet, a local network or another wide area network) and via the network adapter or the network interface 836 on the terminal unit computer 102 and the authentication server computer 105 can be downloaded. From the network adapter or from the network interface 836 becomes the authorization check program 66 to the hard drive 830 loaded. The authorization check program 66 can be from an external computer via a network (for example the Internet, a local network or another wide area network) and via the network adapter or the network interface 836 on the authentication server computer 105 can be downloaded. From the network adapter or from the network interface 836 becomes the authorization check program 66 to the hard drive 830 loaded. The network can have copper lines, optical fibers, wireless transmission, routers, firewalls, switches, gateway computers and / or edge servers.

Jeder der Sätze externer Komponenten 900a, 900b beinhaltet einen Computeranzeigemonitor 920, eine Tastatur 930 und eine Computermaus 934. Jeder der Sätze interner Komponenten 800a, 800b beinhaltet außerdem Einheitentreiber 840, die die Schnittstellen zum Computeranzeigemonitor 920, zur Tastatur 930 und zur Computermaus 934 bilden. Die Einheitentreiber 840, das Lese/Schreib-Laufwerk oder die Lese/Schreib-Schnittstelle 832 und der Netzwerkadapter oder die Netzwerkschnittstelle 836 weisen Hardware und Software auf (die auf der Speichereinheit 830 und/oder im ROM 824 gespeichert sind).Each of the sets of external components 900a , 900b includes a computer display monitor 920 , a keyboard 930 and a computer mouse 934 . Each of the sets of internal components 800a , 800b also includes device drivers 840 which interfaces to the computer display monitor 920 , to the keyboard 930 and to the computer mouse 934 form. The device drivers 840 , the read / write drive or the read / write interface 832 and the network adapter or network interface 836 have hardware and software (those on the storage device 830 and / or in ROM 824 are saved).

Das Berechtigungsprüfungsprogramm 66 kann in verschiedenen Programmiersprachen geschrieben sein, unter anderem in maschinennahen, höheren, objektorientierten oder nicht objektorientierten Sprachen. Alternativ können die Funktionen eines Berechtigungsprüfungsprogramms 66 ganz oder teilweise mit Hilfe von Computerschaltungen und oder mit Hilfe anderer Hardware (nicht gezeigt) realisiert sein. The authorization check program 66 can be written in various programming languages, including machine-oriented, higher, object-oriented or non-object-oriented languages. Alternatively, the functions of an authorization check program 66 be realized in whole or in part with the aid of computer circuits and or with the aid of other hardware (not shown).

Die Merkmale des Systems werden im Folgenden ausführlicher beschrieben.The features of the system are described in more detail below.

Berechtigungsprüfungsdaten erhalten:Get authorization check data:

Der zeitliche Ablauf der Ausführung der Operationen bei der Verarbeitung dieses Mechanismus ist im Flussdiagramm von 2 „Ausführung der Berechtigungsprüfung“ beschrieben.The timing of the execution of the operations in processing this mechanism is in the flowchart of 2nd "Execution of the authorization check" described.

Das System beginnt mit dem am gemeinsamen Benutzerkonto angemeldeten gemeinsamen Endgerät. Ein Benutzer startet eine Operation, die eine Berechtigungsprüfung erfordert - zum Beispiel möchte ein Kassierer gekaufte Waren scannen, oder ein Manager möchte eine Preissenkung eines Artikels an einer Registrierkasse genehmigen, an der ein Kassierer einen Warenkorb mit Lebensmitteln eingibt usw.The system starts with the shared end device logged on to the shared user account. A user starts an operation that requires an authorization check - for example, a cashier wants to scan purchased goods, or a manager wants to approve a price reduction of an item at a cash register, where a cashier enters a shopping cart with groceries, etc.

Der neue Benutzer gibt seine oder ihre biometrischen Daten in der nach dem Stand der Technik bekannten Art und Weise ein, zum Beispiel durch Auflegen des Daumens auf einen Fingerabdruckscanner.The new user enters his or her biometric data in the manner known in the prior art, for example by placing the thumb on a fingerprint scanner.

Unter Bezugnahme auf 2 empfängt der Endgeräteeinheitencomputer 102 Eingaben eines Benutzers zum Starten einer Berechtigungsprüfung an einem Endgerät (Schritt 202), und der Endgeräteeinheitencomputer 102 empfängt biometrische Eingaben von einem Benutzer (Schritt 204), und das Verfahren endet.With reference to 2nd the terminal unit computer receives 102 User inputs to start an authorization check on a terminal (step 202 ), and the terminal unit computer 102 receives biometric input from a user (step 204 ), and the process ends.

Das System geht anschließend zur Hybrid-Berechtigungsprüfung von 3 über, wie nachstehend beschrieben.The system then goes to the hybrid authorization check 3rd about as described below.

Bei einem herkömmlichen System werden Anmeldeinformationen als Berechtigungsprüfungsprotokoll aufgezeichnet. Um jedoch die Verlaufsdaten der Ausführung von Berechtigungsprüfungen als Basisdaten zum Verbessern der Leistung und Effizienz der Berechtigungsprüfung zu verwenden, müssen Personendaten anhand jedes notwendigen Elements gesammelt werden, um den Berechtigungsprüfungsverlauf anhand jeder Berechtigungsprüfungszeit und jedes Zielendgeräts abrufen zu können. Daher ist es wünschenswert, die als „Benutzerinformationsdatenbank, Benutzerinformationstabelle“ beschriebenen Elemente in der Datenbank als Beispiel gespeicherter Daten zu speichern.In a conventional system, credentials are recorded as an authentication log. However, in order to use the historical data of the execution of authorization checks as basic data for improving the performance and efficiency of the authorization test, personal data must be collected on every necessary element in order to be able to call up the authorization test history on the basis of each authorization test time and each target terminal. Therefore, it is desirable to store the items described as “user information database, user information table” in the database as an example of stored data.

Hybrid-Berechtigungsprüfungsdaten ausführen:Execute hybrid authentication data:

Im Falle der gemeinsamen Nutzung eines gemeinsamen Benutzerkontos mit mehreren Personen wird eine Berechtigungsprüfung durch eine sogenannte 1:N-Berechtigungsprüfung durchgeführt, bei der zur Berechtigungsprüfung eingegebener Daten mehrere Überprüfungsziele bestehen.If a shared user account is shared with several people, an authorization check is carried out by a so-called 1: N authorization check, in which there are several check targets for the data entered for the authorization check.

Zum Durchführen der 1:N-Berechtigungsprüfung müssen zwangsläufig ein großes Datenvolumen aus einer Datenbank geladen und diese Berechtigungsprüfungsdaten übertragen werden. Die Datenübertragung geschieht während einer mehrmaligen Ausführung der Berechtigungsprüfung. Aus diesem Grund verlängert sich die Verarbeitungszeit im Vergleich zur 1:1-Berechtigungsprüfung, bei der die Eingabe und das Überprüfungsziel nur für eine bestimmte Anmeldung gelten.To carry out the 1: N authorization check, a large volume of data must be loaded from a database and this authorization check data must be transferred. The data transfer takes place during a multiple execution of the authorization check. For this reason, the processing time is longer compared to the 1: 1 authorization check, in which the input and the check target only apply to a specific registration.

Als Lösungsverfahren für diese Situation erhöht das System der vorliegenden Erfindung die Leistung der Berechtigungsprüfung, indem es sich auf die Fehlverteilung der Berechtigungsprüfung als Reproduzierbarkeit der Berechtigungsprüfung für dieselbe Person am selben Endgerät konzentriert.As a solution to this situation, the system of the present invention increases the authorization check performance by focusing on the mis-distribution of the authorization check as reproducibility of the authorization check for the same person on the same terminal.

Ein Verfahren zum Festlegen der Ausführung von 1:1-Berechtigungsprüfung besteht darin, die Zeit (den Zeitüberschreitungswert) seit der vorhergehenden Berechtigungsprüfung durch denselben Benutzer festzulegen, oder anhand der Eingabe der anderen Kennungsinformationen festzustellen, dass sich ein anderer Benutzer anmeldet.One way to schedule 1: 1 authentication to run is to set the time (the timeout value) since the previous authentication by the same user, or to determine that another user is logging in by entering the other credential information.

Wenn es sich bei den für das System verwendeten Endgeräten jedoch um ein Front-End-Terminal handelt, das für einen Kunden vorgesehen ist, ist es schwierig, einen einfachen Zeitüberschreitungswert zu setzen, um die Beendigung der Endgerätenutzung festzulegen, da der Schalterdienst nicht einfach als Aufgabe zur Nutzung des Endgeräts angegeben werden kann. Darüber hinaus ist die Kennungseingabe zum Unterscheiden von Benutzern auch schwierig, wenn mehrere Benutzer das Front-End-Endgerät in der Nutzungsumgebung verwenden. Daher können bestehende 1:1- und 1:N-Berechtigungsprüfungs-Umschaltverfahren bei dieser Umgebung nicht angewendet werden.However, if the terminals used for the system are a front-end terminal intended for a customer, it is difficult to set a simple time-out value to determine the end of the terminal use because the switch service is not simply as Task to use the device can be specified. In addition, the identification input is Difficulty distinguishing users even when multiple users use the front-end terminal in the usage environment. Therefore, existing 1: 1 and 1: N authentication check switching methods cannot be applied in this environment.

Daher führt das System der vorliegenden Erfindung eine vorläufige Berechtigungsprüfung durch, um eine angenäherte Ermittlung vorzunehmen, ob es sich bei dem Benutzer, der sich gerade am Endgerät anmeldet, um denselben Benutzer handelt, der die vorhergehende Berechtigungsprüfung an dem Endgerät ausgeführt hat.Therefore, the system of the present invention performs a preliminary authorization check to make an approximate determination as to whether the user who is currently logging on to the terminal is the same user who performed the previous authorization check on the terminal.

Die Geschwindigkeit der Berechtigungsprüfung 6 hängt von der Detailliertheit der Realisierungsform der Berechtigungsprüfung ab. Zunächst wird als vorläufige Berechtigungsprüfung ermittelt, ob es sich um denselben Benutzer handelt, der zuvor auf Berechtigung geprüft wurde. Nachdem diese Ermittlung vorgenommen wurde, wird ermittelt, ob eine Berechtigungsprüfungsumschaltung stattfinden sollte. Die Verwendung dieser groben Berechtigungsprüfung stellt kein Sicherheitsrisiko dar.The speed of the authorization check 6 depends on the level of detail of the implementation form of the authorization check. First, as a preliminary authorization check, it is determined whether it is the same user who was previously checked for authorization. After this determination has been made, it is determined whether an authorization check switchover should take place. The use of this rough authorization check does not pose a security risk.

Wenn festgestellt werden kann, dass es sich bei dem Benutzer um denselben Benutzer handelt, der während der vorhergehenden Anmeldung auf Berechtigung geprüft wurde, wird eine 1:1-Berechtigungsprüfung durchgeführt, indem der Cache-Speicher der Daten zum Prüfen des vorhergehenden Benutzers auf Berechtigung verwendet wird.If it can be determined that the user is the same user that was checked for authorization during the previous login, a 1: 1 authorization check is performed using the data cache to check the previous user for authorization becomes.

Wenn nicht festgestellt werden kann, dass die vorherige Anmeldung und Berechtigungsprüfung für denselben Benutzer erfolgten, oder wenn derselbe Benutzer nicht in der 1:1-Berechtigungsprüfung auf Berechtigung geprüft werden kann, wird eine Abfolge zum Ausführen einer normalen 1:N-Berechtigungsprüfung durchgeführt. Dadurch verbessert das System die Geschwindigkeit einer wiederholten Berechtigungsprüfung durch denselben Benutzer, die den Großteil der Anwendungsfälle bildet.If it cannot be determined that the previous login and authorization check were performed for the same user, or if the same user cannot be checked for authorization in the 1: 1 authorization check, a sequence for performing a normal 1: N authorization check is carried out. The system thereby improves the speed of repeated authorization checks by the same user, which forms the majority of the use cases.

Die Berechtigungsprüfungsausführungslogik selbst kann die bestehende Berechtigungsprüfungslogik wie z.B. ein biometrisches Berechtigungsprüfungsverfahren nutzen.The authorization check execution logic itself can use the existing authorization check logic such as use a biometric authentication process.

Die Operationen, durch die sich die Berechtigungsprüfung im vorliegenden System auszeichnen, bestehen aus den folgenden beiden Teilen.The operations that distinguish the authorization check in the present system consist of the following two parts.

Ausführung von 1:1- und 1:N-Berechtigungsprüfung einschließlich vorläufiger BerechtigungsprüfungExecution of 1: 1 and 1: N authorization check including preliminary authorization check

3 zeigt ein Flussdiagramm, das die Auswahl von 1:1- oder 1:N-Berechtigungsprüfung veranschaulicht. 3rd shows a flow diagram illustrating the selection of 1: 1 or 1: N authorization check.

Nach dem Empfangen biometrischer Eingaben von einem Benutzer und von Anmeldeinformationen von einem Benutzer aus 2 ermittelt das Berechtigungsprüfungsprogramm 66, ob die Biometriedaten anzeigen, dass es sich bei dem Benutzer, der sich gerade am Endgerät beim System anmeldet, um denselben Benutzer handelt, der zuletzt durch das System auf Berechtigung geprüft wurde (Schritt 220).After receiving biometric input from a user and credentials from a user 2nd determines the authorization check program 66 whether the biometric data indicate that the user who is currently logging on to the system on the end device is the same user who was last checked for authorization by the system (step 220 ).

Wenn es sich bei dem Benutzer nicht um denselben Benutzer handelt, der zuvor durch das System auf Berechtigung geprüft wurde, oder der Benutzer nicht auf Berechtigung geprüft werden kann (Schritt 220), führt das Berechtigungsprüfungsprogramm 66 eine 1:N-Berechtigungsprüfung aus (Schritt 222), und das Verfahren geht zu 6 über, die nachfolgend weiter erörtert wird.If the user is not the same user who was previously checked for authorization by the system, or the user cannot be checked for authorization (step 220 ), runs the authorization check program 66 a 1: N authorization check (step 222 ), and the procedure closes 6 which will be discussed further below.

Wenn es sich bei dem Benutzer um denselben Benutzer handelt, der zuvor durch das System auf Berechtigung geprüft wurde (Schritt 220), führt das Berechtigungsprüfungsprogramm 66 eine 1:1-Berechtigungsprüfung aus (Schritt 224).If the user is the same user who was previously checked for authorization by the system (step 220 ), runs the authorization check program 66 a 1: 1 authorization check (step 224 ).

Wenn die Berechtigungsprüfungsinformationen für den Benutzer nicht akzeptiert werden (Schritt 226), geht das Verfahren zu Schritt 222 der Ausführung der 1:N-Berechtigungsprüfung über, und das Verfahren geht zur 6 über, die nachfolgend weiter erörtert wird.If the authentication information is not accepted for the user (step 226 ), the procedure goes to step 222 execution of the 1: N authorization check, and the procedure goes to 6 which will be discussed further below.

Wenn die Berechtigungsprüfungsinformationen für den Benutzer akzeptiert werden (Schritt 226), wird das Berechtigungsprüfungsergebnis in einer Berechtigungsprüfungs-Ergebnistabelle gespeichert (Schritt 228), das Berechtigungsprüfungsprogramm 66 gewährt dem Endgerät Zugriff für den Benutzer (Schritt 230) und das Verfahren endet.If the authentication information is accepted for the user (step 226 ), the authorization check result is stored in an authorization check result table (step 228 ), the authorization check program 66 grants access to the terminal for the user (step 230 ) and the process ends.

Funktion zur Ausführung der 1:N-Berechtigungsprüfung mit Maskenfunktion der Berechtigungsprüfungs-Prioritätsliste, um eine Berechtigungsprüfung für den gerade angemeldeten Benutzer an einem anderen Endgerät auszuschließen Function for executing the 1: N authorization check with mask function of the authorization check priority list in order to exclude an authorization check for the user who is currently logged on at another terminal

Beim Empfangen einer Berechtigungsprüfungsanforderung führt das System eine vorläufige Berechtigungsprüfung durch, die bei hoher Geschwindigkeit mit grober Detailliertheit ausgeführt werden kann, indem die eingegebenen der biometrischen Berechtigungsprüfungsinformationen und die vorherigen Berechtigungsprüfungsinformationen verwendet werden.Upon receiving a credential request, the system performs a preliminary credential that can be run at high speed with great granularity using the biometric credential information entered and the previous credential information.

Diese Berechtigungsprüfung ist nicht die endgültige Berechtigungsprüfung, sondern die Ermittlung einer Möglichkeit, ob es sich um denselben Benutzer wie beim vorhergehenden Mal handelt.This authorization check is not the final authorization check, but rather the determination of a possibility whether the user is the same as the previous time.

Wenn festgestellt wird, dass die Wahrscheinlichkeit hoch ist, dass es sich um denselben Benutzer handelt, wird eine 1:1-Berechtigungsprüfung ausgeführt, indem die Daten des Benutzers verwendet werden, der sich das letzte Mal angemeldet hat. Wenn andererseits festgestellt wird, dass es sich sehr wahrscheinlich um einen anderen Benutzer handelt, geht die Ausführung zur Ausführung der 1:N-Berechtigungsprüfung über.If the user is determined to be likely to be the same user, a 1: 1 authorization check is performed using the data of the last user who logged on. On the other hand, if it is determined that the user is very likely to be another user, execution proceeds to the 1: N authorization check.

Ausführung der 1:N-Berechtigungsprüfungsfunktion mit Maskenfunktion der Berechtigungsprüfungs-Prioritätsliste, um eine Berechtigungsprüfung für den gerade angemeldeten Benutzer an einem anderen Endgerät auszuschließenExecution of the 1: N authorization check function with mask function of the authorization check priority list in order to exclude an authorization check for the user who has just logged on to another terminal

Bei der 1:N-Berechtigungsprüfung wird die Berechtigungsprüfung auf der Grundlage der eingegebenen biometrischen Berechtigungsprüfung und der Berechtigungsprüfungs-Prioritätsliste der Reihe nach ausgeführt.In the 1: N authorization check, the authorization check is carried out in sequence on the basis of the biometric authorization check entered and the authorization check priority list.

Bei der Berechtigungsprüfungs-Prioritätsliste handelt es sich jedoch um eine Liste, die auf dem zurückliegenden Berechtigungsprüfungsstatus beruht. Aus diesem Grund wird möglicherweise eine unnötige Berechtigungsprüfungsverarbeitung durchgeführt, da der gegenwärtig am anderen Endgerät angemeldete Benutzer mit einer höheren Priorität in der Berechtigungsprüfungs-Prioritätsliste eingestuft wird.However, the authentication priority list is a list based on the previous authentication status. For this reason, unnecessary authentication processing may be performed because the user currently logged on to the other terminal is ranked with a higher priority in the authentication priority list.

Daher wird die gelesene Berechtigungsprüfungs-Prioritätsliste als zeitweilige Berechtigungsprüfungs-Prioritätstabelle angelegt. Da es sich hierbei um eine zeitweilige Tabelle handelt, ist der Hauptspeicher zum Speichern einer derartigen Tabelle bevorzugt.Therefore, the read authentication priority list is created as a temporary authentication priority table. Since this is a temporary table, the main memory is preferred for storing such a table.

Als Nächstes wird anhand der Berechtigungsprüfungsergebnisdaten nach den aktuellen Anmeldedaten gesucht, danach werden die ermittelte Benutzerkennung aus der zeitweiligen Berechtigungsprüfungstabelle gelöscht und die Berechtigungsprüfungsausführung als aussagefähige Tabelle neu geschrieben.The next step is to use the authorization check result data to search for the current login data, then the identified user ID is deleted from the temporary authorization check table and the authorization check execution is rewritten as a meaningful table.

Abschließend wird die Berechtigungsprüfung in der Reihenfolge der in der Liste der aktualisierten zeitweiligen Berechtigungsprüfungs-Prioritätstabelle beschriebenen Daten ausgeführt.Finally, the authorization check is performed in the order of the data described in the list of the updated temporary authorization check priority table.

Endgerätebeziehungen berechnenCalculate device relationships

Bei der 1:N-Berechtigungsprüfung ist die Gültigkeit der Prioritätsliste der wichtigste Faktor beim Verbessern der Effizienz der Berechtigungsprüfung.In the 1: N authorization check, the validity of the priority list is the most important factor in improving the efficiency of the authorization check.

Zur Erhöhung der Genauigkeit der Liste von Berechtigungsprüfungsprioritäten muss die Lokalisierung der Berechtigungsprüfungs-Prioritätsliste erweitert werden. Das heißt, dass es sich nicht um die Prioritätsliste im gesamten System handelt, sondern um die Prioritätenlistenerstellung in der Gruppe oder auf der Endgeräteebene.To increase the accuracy of the authentication priority list, the localization of the authentication priority list must be expanded. This means that it is not a matter of the priority list in the entire system, but rather the creation of priority lists in the group or at the terminal level.

In diesem Fall besteht als nachteilige Auswirkung zum Zeitpunkt der Verwendung der Berechtigungsprüfungspriorität Redundanz durch Erweiterung der Örtlichkeit. Dieses vorliegende System konzentriert sich auf die Tatsache, dass eine Verringerung dieser Redundanz zu hoher Geschwindigkeit beiträgt.In this case, there is an adverse effect of redundancy by expanding the location when the authorization priority is used. This present system focuses on the fact that reducing this redundancy contributes to high speed.

Insbesondere im Falle einer Umgebung unter Verwendung eines gemeinsamen genutzten Endgeräts nutzt derselbe Benutzer mehrere Endgeräte. Infolgedessen ist eine Registrierung desselben Benutzers in den Prioritätslisten eine Situation, die in der Regel bei dieser Art von Anwendungsfall auftreten kann.Particularly in the case of an environment using a shared terminal, the same user uses multiple terminals. As a result, registration of the same user in the priority lists is a situation that can typically arise in this type of use case.

Andererseits gibt es unter dem Gesichtspunkt der Berechtigungsprüfung keinen Nutzungsmodus, bei dem derselbe Benutzer gleichzeitig an mehreren Endgeräten auf Berechtigung geprüft wird und sich anmeldet.On the other hand, from the point of view of the authorization check, there is no usage mode in which the same user is checked for authorization simultaneously on several terminals and logs on.

Zum Zeitpunkt der Berechtigungsprüfungsausführung kann beim Lesen der Berechtigungsprüfungspriorität keine Berechtigungsprüfung des Benutzers stattfinden, der am anderen Endgerät angemeldet ist. Daher verbessert das System der vorliegenden Erfindung die Leistung der Berechtigungsprüfung, indem der Benutzer, der sich am anderen Endgerät anmeldet, von der Berechtigungsprüfungs-Prioritätsliste ausgeschlossen wird, die auf diesem Standort beruht. At the time of the authorization check execution, when the authorization check priority is read, no authorization check can take place for the user who is logged on to the other terminal. Therefore, the system of the present invention improves the authentication performance by excluding the user who logs on to the other terminal from the authentication priority list based on that location.

Das Entfernen (Maskieren) aus der Liste ändert sich dynamisch anhand der Benutzernutzungssituation zum Zeitpunkt des Auftretens der Berechtigungsprüfungsanforderung. Daher kopiert das System der vorliegenden Erfindung die Berechtigungsprüfungs-Prioritätsliste als zeitweilige Tabelle, um eine zeitweilige Änderung dieser Tabelle zu ermöglichen, und führt anschließend eine Berechtigungsprüfung unter Verwendung dieser zeitweiligen Berechtigungsprüfungs-Prioritätsliste aus, um eine Berechtigungsprüfung anhand des Nutzungszustands vorzunehmen.The removal (masking) from the list changes dynamically based on the user usage situation at the time the authorization check request occurs. Therefore, the system of the present invention copies the authentication priority list as a temporary table to allow temporary changing of that table, and then performs an authentication using this temporary authentication priority list to perform an usage-based authentication.

Zu den Funktionen dieses Elements gehören eine Berechtigungsprüfungsdaten-Erfassungsfunktion, eine Endgerätebeziehungs-Berechnungsfunktion und eine Endgerätebeziehungsdaten-Speicherfunktion.The functions of this element include an authentication data acquisition function, a terminal relationship calculation function, and a terminal relationship data storage function.

Beispiel eines Konzepts zur Verwaltung von EndgerätegruppierungenExample of a concept for managing terminal groupings

Es folgt ein Beispiel der Funktionsweise des Konzepts zur Verwaltung von Endgerätegruppierungen. Das Verfahren zum Berechnen der Endgeräterelevanz (Endgerätebeziehung) ist lediglich ein Beispiel, wobei ein anderes Verfahren zum Berechnen der Endgeräterelevanz verwendet werden könnte, das auf dem Berechtigungsprüfungsprotokoll jedes Endgeräts beruht.The following is an example of how the concept for managing terminal groupings works. The method of calculating terminal relevance (terminal relationship) is only an example, and another method of calculating terminal relevance based on the authentication protocol of each terminal could be used.

Für das Zielendgerät werden Daten darüber erfasst, an welchem Endgerät sich der Benutzer befindet, der die nächste Berechtigungsprüfung ausgeführt hat. Eine Funktion führt die erfassten Ergebnisse für einen bestimmten Zeitraum zusammen und berechnet den Endgeräterelevanzindex jedes Endgeräts in Bezug auf andere Endgeräte. Das Berechnungsergebnis ist ein Verhältnis (%), an welchem Endgerät sich der am betreffenden Endgerät angemeldete Benutzer am nächsten Endgerät angemeldet hat. Dieses Berechnungsergebnis wird in der „Endgerätebeziehungs-DB: Endgerätebeziehungstabelle“ gespeichert.For the target terminal, data is recorded on which terminal the user who carried out the next authorization check is located. A function merges the recorded results for a certain period of time and calculates the device relevance index of each device in relation to other devices. The calculation result is a ratio (%) to which terminal the user logged on to the relevant terminal has logged on to the next terminal. This calculation result is stored in the "terminal relationship DB: terminal relationship table".

Für das Endgerät (Y) lautet der Relevanzindex (%) des Endgeräts (X) = Anzahl von Anmeldungen am Endgerät Y nach dem Anmelden am Endgerät X innerhalb des angestrebten Zeitraums/Anzahl von Anmeldungen am Endgerät X innerhalb des betreffenden Zeitraums.For the terminal (Y), the relevance index (%) of the terminal (X) = number of registrations on terminal Y after logging on to terminal X within the desired period / number of registrations on terminal X within the relevant period.

In einer Umgebung, in der Kundenaufgaben ausgeführt werden, während mehrere benachbarte gemeinsame Endgeräte gemeinsam genutzt werden, führt der Benutzer seinen Geschäftsvorgang am leeren Endgerät aus, ohne sich dessen bewusst zu sein, dass es sich um ein eindeutiges Endgerät handelt.In an environment in which customer tasks are performed while multiple neighboring shared terminals are shared, the user conducts his business operation on the empty terminal without being aware that it is a unique terminal.

Unter derartigen Umständen führt die Erstellung einer Berechtigungsprüfungs-Prioritätsliste aus Nutzungsdaten lediglich eines einzigen Endgeräts nicht zur Erstellung einer Liste, die die tatsächliche Nutzung wiedergibt.In such circumstances, the creation of an authorization check priority list from usage data of only one terminal does not lead to the creation of a list which reflects the actual usage.

Daher erstellt das System die Prioritätsliste unter Verwendung relevanter Endgerätedaten mit einem gewichteten Faktor, nachdem ein dynamischer Beziehungsfaktor zwischen Endgeräten ermittelt wurde. Die 4A und 4B zeigen die Endgeräte 1 und 2, bei denen die mit Kreisen versehenen Elemente „A“ eine Berechtigungsprüfung des Benutzers „A“ darstellen und die mit Kreisen versehenen Elemente „B“ eine Berechtigungsprüfung des Benutzers „B“ darstellen.Therefore, the system creates the priority list using relevant terminal data with a weighted factor after a dynamic relationship factor between terminals has been determined. The 4A and 4B show the terminals 1 and 2, in which the circled elements "A" represent an authorization check of the user "A" and the circled elements "B" represent an authorization check of the user "B".

4A zeigt einen Fall, bei dem die Relevanz zwischen dem Endgerät 1 und dem Endgerät 2 unabhängig vom physischen Standort des Endgeräts null beträgt. 4A shows a case in which the relevance between the terminal 1 and the terminal 2 is zero regardless of the physical location of the terminal.

4B zeigt einen Fall, bei dem die Relevanz zwischen dem Endgerät 1 und dem Endgerät 2 unabhängig vom physischen Standort ziemlich hoch ist. 4B shows a case where the relevance between the terminal 1 and the terminal 2 is quite high regardless of the physical location.

Berechtigungsprüfungs-Prioritätsliste erstellenCreate the authorization check priority list

5 zeigt ein Flussdiagramm eines Verfahrens zur Beziehungsanalyse und Prioritätslistenerstellung. Der Prozess von 5 kann täglich oder wöchentlich durchgeführt werden und muss nicht nach jeder Genehmigung durchgeführt werden, obwohl er nach jeder Genehmigung durchgeführt werden könnte, wenn Prozessorressourcen dies zulassen. 5 shows a flow diagram of a method for relationship analysis and priority list creation. The process of 5 can be done daily or weekly and does not have to be done after each approval, although it could be done after each approval if processor resources allow it.

In einem ersten Schritt berechnet das Berechtigungsprüfungsprogramm 66 auf der Grundlage der Berechtigungsprüfungs-Ergebnistabelle ein Endgerätenutzungsverhältnis je Zeitfenster und speichert das Endgerätenutzungsverhältnis je Zeitfenster in der Endgerätenutzungsverhältnistabelle (Schritt 280). In a first step, the authorization check program calculates 66 based on the authorization check result table, a terminal usage ratio per time window and stores the terminal usage ratio per time window in the terminal usage ratio table (step 280 ).

Das Berechtigungsprüfungsprogramm 66 berechnet eine Endgerätebeziehung und speichert die Endgerätebeziehung in der Endgerätebeziehungstabelle (Schritt 282).The authorization check program 66 calculates a terminal relationship and stores the terminal relationship in the terminal relationship table (step 282 ).

Das Berechtigungsprüfungsprogramm 66 berechnet dann auf der Grundlage der Endgerätebeziehung, der Endgerätenutzungsverhältnistabelle und des Berechtigungsprüfungsergebnisses die Berechtigungsprüfungspriorität und speichert die Berechtigungsprüfungspriorität in der Berechtigungsprüfungs-Prioritätstabelle (Schritt 284), und das Verfahren endet.The authorization check program 66 then calculates the authentication priority based on the terminal relationship, the terminal usage ratio table and the authentication result, and stores the authentication priority in the authentication priority table (step 284 ), and the process ends.

Eine Berechtigungsprüfungs-Prioritätsliste wird für jedes entsprechende Endgerät erstellt. Die Berechtigungsprüfungs-Prioritätsliste des Zeitfensters X des Endgeräts (W) wird anhand der folgenden Prozedur berechnet:An authorization check priority list is created for each corresponding terminal. The authorization check priority list of the time window X of the terminal (W) is calculated using the following procedure:

Schätzung des Berechtigungsprüfungs-Nutzungsverhältnisses je Zielzeitfenster des entsprechenden EndgerätsEstimation of the authorization check usage ratio per target time window of the corresponding terminal

Der Benutzer (Y) vermutete ein Berechtigungsprüfungs-Nutzungsverhältnis im Zeitfenster (X) des entsprechenden Endgeräts (W).The user (Y) assumed an authorization check usage relationship in the time window (X) of the corresponding terminal (W).

Schätzung des Berechtigungsprüfungs-Nutzungsverhältnisses je Zielzeitfenster des entsprechenden Endgeräts = (Relevanzindex (%) für das Zielendgerät (Z) des entsprechenden Endgeräts (W)) x (Prozentsatz der Nutzung (%) im Zeitfenster (X) des Zielendgeräts (Z)). Zu beachten ist, dass diese Berechnung sowohl für alle Zielendgeräte als auch alle Benutzer ausgeführt wird.Estimation of the authorization check usage ratio per target time window of the corresponding terminal = (relevance index (%) for the target terminal (Z) of the corresponding terminal (W)) x (percentage of use (%) in the time window (X) of the target terminal (Z)). It should be noted that this calculation is carried out for all target terminals as well as for all users.

Erstellung der PrioritätslisteCreation of the priority list

Die Priorität des entsprechenden Endgeräts (W) im Zeitfenster (X) wird als Prioritätsliste erstellt, indem in absteigender Reihenfolge in Richtung des durch den Benutzer (Y) im Zeitfenster (X) des entsprechenden Endgeräts (W) vermuteten Berechtigungsprüfungs-Nutzungsverhältnisses sortiert wird.The priority of the corresponding terminal (W) in the time window (X) is created as a priority list by sorting in descending order in the direction of the authorization check usage relationship assumed by the user (Y) in the time window (X) of the corresponding terminal (W).

Speicher und DatenbankStorage and database

Die folgenden verschiedenen Tabellen zeigen Beispiele von Tabellen, die durch jeden Mechanismus in diesem System im Speicher gehalten werden. Es wird klar sein, dass die tatsächlichen Einzelheiten in einem System von der jeweiligen tatsächlichen Realisierungsform abhängen. Tabelle E.1: Benutzerinformationsdatenbank - Benutzerinformationstabelle Gemeinsame Benutzerkontokennung Biometrische Daten Datendatei A Benutzername Benutzer ... Datendatei N Benutzername Benutzer 001 /xxx /123456_1 John Doe A ... /xxx /123456_N Bill Clark B 002 /xxx /234567_1 Bill Roe E ... /xxx /123456_1 John Doe A ... ... ... ... 00n /xxx3452452_ 1 Jane Doe D ... /xxx /3452452_N Bob Jones XX The following various tables show examples of tables that are kept in memory by any mechanism in this system. It will be clear that the actual details in a system depend on the actual form of implementation. Table E.1: User information database - user information table Shared user account ID Biometric data Data file A User name user ... Data file N User name user 001 / xxx / 123456_1 John Doe A ... / xxx / 123456_N Bill Clark B 002 / xxx / 234567_1 Bill Roe E ... / xxx / 123456_1 John Doe A ... ... ... ... 00n / xxx3452452_ 1 Jane Doe D ... / xxx / 3452452_N Bob Jones XX

Zu beachten ist bei diesem Beispiel der Unterschied zwischen „Benutzern“, bei denen es sich um Personen mit ihren zugehörigen biometrischen Daten handelt (die beispielhaft mit den Buchstaben A bis XX) gekennzeichnet sind), und „gemeinsamen Benutzerkontokennungen“, bei denen es sich um Systemkennungen handelt, die zum Anmelden bei einem Endgerät verwendet werden (die beispielhaft mit den Zahlen 001 bis 00n gekennzeichnet sind).Note in this example the difference between "users", who are people with their associated biometric data (who are identified by the letters A to XX for example), and "shared user account IDs", which are System identifiers that are used to log on to a terminal (which are identified with the numbers 001 to 00n for example).

Jede gemeinsame Benutzerkontokennung könnte durch eine Anzahl unterschiedlicher Benutzer verwendet werden, wodurch mehrere Benutzer vorliegen können, die einer gemeinsamen Benutzerkontokennung zugehörig sind, wobei jeder Benutzer seine oder ihre eigenen (biometrischen) Berechtigungsprüfungsdaten hat. In der Benutzerinformationstabelle sind verschiedene Benutzer aufgeführt, die jeder Benutzerkennung zugehörig sind, und die biometrischen Daten, die zum Kennzeichnen dieses Benutzers verwendet werden. Each common user account identifier could be used by a number of different users, which may result in multiple users associated with a common user account identifier, each user having his or her own (biometric) credential data. The user information table lists various users associated with each user ID and the biometric data used to identify that user.

Bei diesem System kann eine gemeinsame Benutzerkontokennung nur zum Anmelden an jeweils einem einzigen Endgerät verwendet werden, während ein Benutzer gleichzeitig an einer Anzahl von Endgeräten angemeldet sein kann - zum Beispiel in einem Fall, bei dem ein Hauptkassierer während einer Schicht von einer Registrierkasse zu einer anderen wechseln muss. Tabelle E.2: Berechtigungsprüfungs-Ergebnisdatenbank-Berechtigungsprüfungs-Ergebnistabelle Prozess-Nr. Datum Datum/Uhrzeit Endgerät IP-Adr. Gemeinsame Benutzerkontokennung Benutzer 20151123000 1 30.11.2016 10:11:12 1 192.10.1.1 001 B 20151123000 2 30.11.2016 10:11:15 1 192.10.1.1 001 C 20151123000 2 30.11.2016 10:11:15 1 192.10.1.1 001 A ... ... ... ... ... 20151123000x 30.11.2016 10:15:33 1 192.10.1.1 002 C In this system, a common user account ID can only be used to log on to a single terminal at a time, while a user can be logged on to a number of terminals at the same time - for example, in a case where a main cashier moves from one cash register to another during a shift must change. Table E.2: Entitlement Check Results Database Entitlement Check Results Table Process number date Date / time Terminal IP addr. Shared user account ID user 20151123000 1 11/30/2016 10:11:12 1 192.10.1.1 001 B 20151123000 2 11/30/2016 10:11:15 1 192.10.1.1 001 C. 20151123000 2 11/30/2016 10:11:15 1 192.10.1.1 001 A ... ... ... ... ... 20151123000x 11/30/2016 10:15:33 1 192.10.1.1 002 C.

Bei den Beispielen erfolgt die Kennzeichnung einzelner Endgeräte durch eine einfache Zahl 1 bis x an jeweils einer IP-Adresse, aber es wird klar sein, dass das Endgerät alternativ durch die IP-Adresse selbst, eine alphanumerische Kennung („Schuhabteilung“) oder einen Host-Namen oder eine Host-ID („Ithaca-Schuhregisterkasse 1“) gekennzeichnet sein kann. Tabelle E.3: Endgerätenutzungsstatus-DB: Endgerätenutzungsverhältnis je Zeitfenster Datum Zeitfenster Endgerät Benutzer A B C ... XX 29.11.2016 09:00-10:00 1 15% 35% 25% ... 0 % 29.11.2016 09:00-10:00 2 50% 0 % 20% ... 0 % ... ... ... ... ... ... ... ... 29.11.2016 09:00-10:00 x 0% 0 % 0 % ... 100 % ... ... ... ... ... ... ... ... 29.11.2016 17:00-18:00 1 50% 25% 0 % ... 0 % 29.11.2016 17:00-18:00 2 0% 40% 30% ... 0 % ... ... ... ... ... ... ... ... 29.11.2016 17:00-18:00 x 0% 0 % 20% ... 60 % In the examples, individual devices are identified by a simple number 1 to x at each IP address, but it will be clear that the device can alternatively be identified by the IP address itself, an alphanumeric identifier (“shoe department”) or a host -Name or a host ID ("Ithaca-Schuhregisterkasse 1") can be identified. Table E.3: Terminal usage status DB: terminal usage ratio per time window date Time window Terminal user A B C. ... XX 11/29/2016 09: 00-10: 00 1 15% 35% 25% ... 0% 11/29/2016 09: 00-10: 00 2nd 50% 0% 20% ... 0% ... ... ... ... ... ... ... ... 11/29/2016 09: 00-10: 00 x 0% 0% 0% ... 100% ... ... ... ... ... ... ... ... 11/29/2016 17: 00-18: 00 1 50% 25% 0% ... 0% 11/29/2016 17: 00-18: 00 2nd 0% 40% 30% ... 0% ... ... ... ... ... ... ... ... 11/29/2016 17: 00-18: 00 x 0% 0% 20% ... 60%

Zu beachten ist bei dem Beispiel von Tabelle E.3, dass das Ergebnis ein Anmeldungsnutzungsverhältnis von 15 % für Benutzer A und 35 % für Benutzer B und 25 % für Benutzer C in einem Zielzeitraum von 9:00 Uhr bis 10:00 Uhr an einem bestimmten Tag zeigt.Note in the example of Table E.3 that the result is a login usage ratio of 15% for User A and 35% for User B and 25% for User C in a target period from 9:00 a.m. to 10:00 a.m. shows specific day.

Diese Informationen können verwendet werden, um die Berechtigungsprüfungs-Prioritätstabelle einzurichten - denjenigen Benutzern, die das Endgerät höchstwahrscheinlich nutzen, wird innerhalb eines bestimmten Zeitfensters eine höhere Priorität für das Endgerät als Benutzern zugeordnet, die dieses Endgerät in diesem Zeitfenster weniger wahrscheinlich (oder so gut wie nicht) nutzen. Zur Berechtigungsprüfungs-Prioritätstabelle siehe die folgende Tabelle E.5. Tabelle E.4: Endgerätebeziehungsdatenbank - Endgerätebeziehungstabelle Endgerät (Ziel für Beziehung) 1 2 ... x Endgerät (Ursprung) 1 70% 20% ... 4% 2 30% 50% ... 13% ... ... ... ... ... x 5% 14% ... 70% This information can be used to set up the authentication priority table - those users who are most likely to use the terminal are assigned a higher priority for the terminal within a certain time window than users who are less likely to use this terminal in this time window (or as good as not use. For the authorization check priority table, see the following table E.5. Table E.4: Terminal relationship database - Terminal relationship table Terminal (target for relationship) 1 2nd ... x Terminal (origin) 1 70% 20% ... 4% 2nd 30% 50% ... 13% ... ... ... ... ... x 5% 14% ... 70%

In Tabelle E.4 beträgt das Beziehungsverhältnis von Endgerät 1 zu Endgerät 2 20 %. Dieses Verhältnis bedeutet, dass sich der Benutzer, der sich beim Endgerät 1 am Endgerät angemeldet hat, beim nächsten Anmelden zu 20 % beim Endgerät 2 anmeldet.In Table E.4, the relationship between terminal 1 and terminal 2 is 20%. This ratio means that the user who has logged on to terminal 1 at terminal 1 will log in 20% of terminal 2 the next time he logs on.

Die Endgerätebeziehungen aus dieser Tabelle können mit den Daten aus der Endgerätenutzungstabelle E.3 kombiniert werden, um die Gesamtpriorität zu ermitteln, die in der folgenden Tabelle E.5 gespeichert wird.The terminal relationships from this table can be combined with the data from the terminal usage table E.3 to determine the overall priority, which is stored in the following table E.5.

Diese Tabelle stellt Informationen über diejenigen Endgeräte bereit, die unter einigen bestimmten Gruppen genutzt werden, in denen Benutzer Endgeräte während eines bestimmten Zeitraums häufig wechseln. Die Prioritätensetzung berechnet nicht nur die Nutzung eines einzelnen Endgeräts sondern auch unter Berücksichtigung der Nutzung mehrerer Endgeräte. Und in dieser Situation werden Endgerätebeziehungsdaten aus Tabelle E.4 verwendet.This table provides information about those terminals that are used among some specific groups in which users frequently change terminals during a certain period of time. The setting of priorities not only calculates the use of a single end device but also taking into account the use of several end devices. And in this situation, terminal relationship data from Table E.4 is used.

Endgerätenutzungsdaten für die Berechtigungsprüfungspriorität unter Berücksichtigung der Nutzung mehrerer Endgeräte und der Endgerätenutzungsbeziehung werden zum Beispiel durch die folgende Formel erhalten:

Geschätzte Endgerätenutzung für Endgerät (W) im Zeitfenster (T) = $\sum_{i = 1}^{x}$
(Endgerätebeziehung zwischen Endgerät (W) und Endgerät (i) aus Tabelle E. 4 xx Endgerätenutzungsverhältnis für Endgerät (i) im Zeitfenster (T) aus Tabelle E.3),
wobei die Summierung auf alle Endgeräte angewendet wird, die mit „Endgerät 1“ bis „Endgerät x“ bezeichnet sind.

Tabelle E.5: Berechtigungsprüfungs-Prioritätsdatenbank-Berechtigungsprüfungs-Prioritätstabelle

Endgerät Datum Zeitfenster Berechtigungsprüfungspriorität Priorität 1 Priorität 2 Priorität 3 ... Priorität N

1 30.11.2016 09:00-10:00 Benutzer B Benutzer C Benutzer A ... Benutzer G 2 30.11.2016 10:00-11:00 Benutzer B Benutzer A Benutzer Q ... Benutzer XX ... ... ... ... ... ... ... x 30.11.2016 23:00-24:00 Benutzer XX Benutzer Q Benutzer E ... Benutzer FF

Terminal usage data for the authorization check priority taking into account the usage of multiple terminals and the terminal usage relationship are obtained, for example, by the following formula:

Estimated end device usage for end device (W) in time window (T) $\sum_{i = 1}^{x}$
(Terminal relationship between terminal (W) and terminal (i) from table E. 4 xx terminal usage ratio for terminal (i) in the time window (T) from table E.3),
whereby the summation is applied to all end devices that are labeled “End device 1” to “End device x”.

Table E.5: Entitlement Check Priority Database Entitlement Priority Table

Terminal date Time window Authority check priority Priority 1 Priority 2 Priority 3 ... Priority N

1 11/30/2016 09: 00-10: 00 User B User C User A ... User G 2nd 11/30/2016 10: 00-11: 00 User B User A User Q ... User XX ... ... ... ... ... ... ... x 11/30/2016 23: 00-24: 00 User XX User Q User E ... User FF

In Tabelle E.5 zeigt das Beispiel, dass die Berechtigungsprüfungspriorität für Endgerät 1 im Zeitfenster 9:00 Uhr bis 10:00 Uhr am 30.11.2016 den Benutzer B betrifft (auf der Grundlage seiner 35 % Nutzung dieses Endgeräts im selben Zeitfenster am vorhergehenden Tag), dann den Benutzer C (25 %), dann den Benutzer A (15 %) ... schließlich den Benutzer XX (der dieses Endgerät während des gesamten vorhergehenden Tages nicht genutzt hat).In Table E.5, the example shows that the authorization check priority for terminal 1 in the time window 9:00 a.m. to 10:00 a.m. on November 30, 2016 relates to user B (based on his 35% use of this terminal in the same time window on the previous day ), then user C (25%), then user A (15%) ... finally user XX (who has not used this terminal during the entire previous day).

Flussdiagramm des Verfahrens der 1:N-BerechtigungsprüfungFlow chart of the procedure of the 1: N authorization check

6 zeigt ein Flussdiagramm des Verfahrens der 1:N-Berechtigungsprüfung. 6 shows a flowchart of the method of the 1: N authorization check.

Bei diesem Beispiel steht die gemeinsame Benutzerkontokennung 001 für alle Benutzer in einer einzigen Gruppe - zum Beispiel für die Mitarbeiter der Schuhabteilung in einem Warenhaus. Die Schuhabteilung könnte eine Anzahl von Registrierkassenendgeräten aufweisen, die mit „Endgerät 1“ bis „Endgerät x“ bezeichnet sind, wobei bei Öffnung des Warenhauses alle Endgeräte in den Abteilungen durch die gemeinsame Benutzerkontokennung 001 geöffnet werden. Jeder der sechsundzwanzig Mitarbeiter in der Abteilung ist mit einem Buchstaben bezeichnet, zum Beispiel mit Benutzer „A“ ... Benutzer „Z“, und jeder der sechsundzwanzig Mitarbeiter hat zu Berechtigungsprüfungszwecken seine eigenen biometrischen Daten. Alle der sechsundzwanzig Mitarbeiter halten sich wahrscheinlich nicht in jedem beliebigen Zeitfenster im Warenhaus auf, da jeder seinen bzw. ihre eigene Arbeitszeit hat, wenn sie aber anwesend sind, müssen sie unter Umständen an einem beliebigen der Endgeräte 1 bis x auf Berechtigung geprüft werden (sich anmelden).In this example, the common user account ID 001 stands for all users in a single group - for example, for the employees of the shoe department in a department store. The shoe department could have a number of cash register terminals, which are labeled "Terminal 1" to "Terminal x", with all terminals in the departments being opened by the shared user account ID 001 when the department store is opened. Each of the twenty-six employees in the department is identified by a letter, for example, user "A" ... user "Z", and each of the twenty-six employees has their own biometric data for authentication purposes. All of the twenty-six employees are unlikely to be in the department store in any time slot, since everyone has their own working time, but if they are present, they may need to be checked for authorization on any of the devices 1 to x (themselves Sign in).

Jetzt möchte sich ein Benutzer (Benutzer M) am 30. November 2017 um 9:30 Uhr morgens an einem Zielendgerät anmelden, beispielsweise am Endgerät 1. Der Benutzer hat sich möglicherweise zuvor an einem oder mehreren anderen Endgeräten angemeldet. Der Benutzer gibt seine Berechtigungsprüfungsdaten ein (zum Beispiel legt er seinen Daumen auf ein Lesegerät oder gibt seinen Code am Tastenfeld der Registrierkasse ein).Now a user (user M) wants to log on to a target terminal on November 30, 2017 at 9:30 a.m., for example on terminal 1. The user may have previously logged on to one or more other terminals. The user enters his credentials (for example, he puts his thumb on a reader or enters his code on the cash register keypad).

Nach dem Stand der Technik würde das System dann den Berechtigungsprüfungsprozess für jeden der Benutzer (Benutzer A bis Z) in der Gruppe (gemeinsame Benutzerkontokennung 1, die Schuhabteilung) durchführen müssen, bis es eine Übereinstimmung bei den Biometriedaten für einen neuen Benutzer gefunden hat. Wenn die Biometriedaten anhand des Benutzernamens nacheinander angeordnet wurden, würde das System zum Beispiel jeden der Benutzer von Benutzer A bis Benutzer L durchlaufen, bevor es eine Übereinstimmung bei Benutzer M findet. Daher würde das System den Berechtigungsprüfungsprozess zwölf Mal durchlaufen. Es ist offensichtlich, dass dies bei größeren Gruppen eine erhebliche Zeit in Anspruch nehmen könnte.In the prior art, the system would then have to perform the authentication process for each of the users (users A through Z) in the group (shared user account ID 1, the shoe department) until it found a match in the biometric data for a new user. For example, if the biometric data were sequenced based on the user name, the system would go through each of the users from user A to user L before finding user M's match. Therefore, the system would go through the authentication process twelve times. It is obvious that this could take a considerable amount of time for larger groups.

Diese Situation kann verbessert werden, indem die Benutzer priorisiert werden, von denen erwartet werden könnte, dass es sich in einem bestimmten Zeitfenster an einem bestimmten Endgerät anmelden. Dies kann in einer Berechtigungsprüfungs-Prioritätstabelle gespeichert werden. Die Berechtigungsprüfungs-Prioritätstabelle enthält die folgenden Informationen: Tabelle F.1: Berechtigungsprüfungs-Ergebnistabelle Endgerät Datum Zeitfenster Berechtigungsprüfungspriorität Priorität 1 Priorität 2 ... Priorität n ... Priorität x 1 30.11.2016 09:00-10:00 Benutzer B Benutzer C ... Benutzer M ... Benutzer Q 2 30.11.2016 09:00-10:00 Benutzer A Benutzer C ... Benutzer D ... Benutzer X ... ... ... ... ... ... ... ... ... x 30.11.2016 09:00-10:00 Benutzer D Benutzer B ... Benutzer Q ... Benutzer F This situation can be improved by prioritizing the users who could be expected to log on to a specific terminal in a specific time window. This can be stored in an authorization check priority table. The authorization check priority table contains the following information: Table F.1: Authorization check result table Terminal date Time window Authority check priority Priority 1 Priority 2 ... Priority n ... Priority x 1 11/30/2016 09: 00-10: 00 User B User C ... User M ... User Q 2nd 11/30/2016 09: 00-10: 00 User A User C ... User D ... User X ... ... ... ... ... ... ... ... ... x 11/30/2016 09: 00-10: 00 User D User B ... User Q ... User F

Ab dem Schritt 222 von 3, bei dem sich der Benutzer M am Endgerät 1 für die gemeinsame Benutzerkontokennung 001 anmelden möchte, ruft das Berechtigungsprüfungsprogramm 66 Einträge aus der Berechtigungsprüfungs-Prioritätstabelle für das Zielendgerät im aktuellen Zeitfenster ab (Schritt 302).From the step 222 from 3rd , at which the user M wants to log on to the terminal 1 for the common user account ID 001, calls the authorization check program 66 Entries from the authorization check priority table for the target terminal in the current time window from (step 302 ).

Die aus der Tabelle für das Zielendgerät extrahierten Informationen würden wie folgt lauten: Tabelle F.1(a) - Berechtigungsprüfungs-Prioritätstabelle für Zielendgerät Endgerät Datum Zeitfenster Berechtigungsprüfungspriorität Priorität 1 Priorität 2 ... Priorität n ... Priorität x 1 30.11.2016 09:00-10:00 Benutzer B Benutzer C ... Benutzer M ... Benutzer Q The information extracted from the target terminal table would be as follows: Table F.1 (a) - Entitlement Check Priority Table for Target Terminal Terminal date Time window Authority check priority Priority 1 Priority 2 ... Priority n ... Priority x 1 11/30/2016 09: 00-10: 00 User B User C ... User M ... User Q

Dies gibt an, dass sich der Benutzer M in der Liste auf der Priorität n für das Endgerät 1 in diesem Zeitfenster befindet. Wenn das Verfahren einfach diese Prioritätstabelle nutzt, würde das System lediglich (n - 1) Sätze von Berechtigungsprüfungsdaten überprüfen müssen, bevor Daten des Benutzers M erreicht werden. Unter der Voraussetzung, dass nur eine relativ kleine Teilmenge von Benutzern Priorität für dieses Endgerät zu diesem Zeitpunkt hat (d.h. (n - 1) <12), würde dies die Anmeldezeit für Benutzer M verkürzen.This indicates that the user M is in the list on the priority n for the terminal 1 in this time window. If the method simply used this priority table, the system would only have to check (n-1) sets of authentication data before user M data is reached. Assuming that only a relatively small subset of users has priority for this terminal at this time (ie (n - 1) <12), this would shorten the login time for user M.

Beim aktuellen Verfahren wird der Berechtigungsprüfungsprozess jedoch verbessert, wie nachstehend erörtert. Das Berechtigungsprüfungsprogramm 66 liest aus der Berechtigungsprüfungs-Ergebnistabelle den Berechtigungsprüfungsstatus bei den anderen Endgeräten (Schritt 308). Tabelle F.2: Berechtigungsprüfungs-Ergebnistabelle Prozess-Nr. Datum Datum/Uhrzeit Endgerät Benutzer 201511230001 30.11.2016 09:11:12 Endgerät 3 Benutzer A 201511230002 30.11.2016 09:11:15 Endgerät 11 Benutzer B 201511230003 30.11.2016 09:11:17 Endgerät 12 Benutzer C 201511230004 30.11.2016 09:13:20 Endgerät 8 Benutzer G 201511230005 30.11.2016 09:20:23 Endgerät 11 Benutzer D 201511230006 30.11.2016 09:25:29 Endgerät 11 Benutzer N ... ... ... ... ... However, the current process improves the authentication process, as discussed below. The authorization check program 66 reads the authorization check status for the other end devices from the authorization check results table (step 308 ). Table F.2: Authorization check result table Process number date Date / time Terminal user 201511230001 11/30/2016 09:11:12 Terminal 3 User A 201511230002 11/30/2016 09:11:15 Terminal 11 User B 201511230003 11/30/2016 09:11:17 Terminal 12 User C 201511230004 11/30/2016 09:13:20 Terminal 8 User G 201511230005 11/30/2016 09:20:23 Terminal 11 User D 201511230006 11/30/2016 09:25:29 Terminal 11 User N ... ... ... ... ...

Somit stellt das Berechtigungsprüfungsprogramm fest, dass Benutzer A aktuell am Endgerät 3 angemeldet ist, die Benutzer B, D und N aktuell am Endgerät 11 angemeldet sind, Benutzer C aktuell am Endgerät 12 angemeldet ist und Benutzer G am Endgerät 8 angemeldet ist, wie oben angemerkt. Andere Benutzer sind an anderen Endgeräten angemeldet.The authorization check program thus determines that user A is currently logged on to terminal 3, users B, D and N are currently logged on to terminal 11, user C is currently logged on to terminal 12 and user G is logged on to terminal 8, as noted above . Other users are logged on to other devices.

Der in Schritt 308 gelesene Berechtigungsprüfungsstatus wird anschließend verwendet, um eine zeitweilige Berechtigungsprüfungs-Prioritätstabelle zu erstellen, indem Prioritätsinformationen und ein Maskenstatus hinzugefügt werden, wie nachstehend angemerkt (Schritt 310). Für jede Priorität werden weitere Daten hinzugefügt, um einen Maskenstatus anzugeben. Da der Maskenstatus zwei Zustände hat, definiert das Beispiel die Statuszustände als „wahr“ in der Bedeutung von „maskiert“ und „falsch“ in der Bedeutung von „nicht maskiert“. Es wird klar sein, dass ein beliebiger anderer Code für diese Funktion verwendet werden könnte, zum Beispiel eine einfache binäre Zahl 0 oder 1 usw.The one in step 308 Read authentication status is then used to create a temporary authentication priority table by adding priority information and a mask status as noted below (step 310 ). Additional data is added for each priority to indicate a mask status. Since the mask status has two states, the example defines the status states as "true" in the meaning of "masked" and "false" in the meaning of "not masked". It will be clear that any other code could be used for this function, for example a simple binary number 0 or 1 etc.

Jeder Benutzer, der bereits bei einem anderen Endgerät angemeldet ist, wird maskiert - das heißt, es wird ihm bei diesem Beispiel ein Maskenwert „wahr“ zugewiesen. Bei Betrachtung lediglich der Maskierung für das Zielendgerät würde die Tabelle wie folgt lauten: Tabelle F.3: Zeitweilige Berechtigungsprüfungs-Prioritätstabelle Endgerät ... Berechtigungsprüfungspriorität Priorität 1 Maske für 1 Priorität 2 Maske für 2 ... Priorität n Maske für n ... 1 ... Benutzer B Wahr Benutzer C Wahr ... Benutzer M Falsch ... Every user who is already logged on to another device is masked - that is, a mask value "true" is assigned to him in this example. If only the masking for the target terminal is considered, the table would be as follows: Table F.3: Temporary authorization check priority table Terminal ... Authority check priority Priority 1 Mask for 1 Priority 2 Mask for 2 ... Priority n Mask for n ... 1 ... User B True User C True ... User M Not correct ...

Somit sind bei diesem Beispiel die ersten beiden Prioritätseinträge maskiert („wahr“), da diese Benutzer anderswo auf Berechtigung geprüft wurden. Angenommen wird, dass andere, als Priorität 3 bis (n - 1) priorisierte Benutzer ebenfalls angemeldet und somit ebenfalls ausgeblendet sind.In this example, the first two priority entries are masked ("true"), since these users have been checked for authorization elsewhere. It is assumed that other users prioritized as priority 3 to (n - 1) are also logged on and are therefore also hidden.

Zu beachten ist, dass bei Abmeldung eines Benutzers von einem Endgerät die Maskierung für diesen Benutzer in der Berechtigungsprüfungs-Prioritätstabelle an allen Stellen entfernt würde, an denen er auftritt.It should be noted that if a user logs off from a terminal, the masking for this user would be removed in the authorization check priority table at all locations where it occurs.

Die „Berechtigungsprüfungs-Prioritätstabelle“ unterscheidet sich wie folgt von der „zeitweiligen Berechtigungsprüfungs-Prioritätstabelle“:The "authentication check priority table" differs from the "temporary authentication priority table" as follows:

Statusänderung: Die Berechtigungsprüfungs-Prioritätstabelle enthält einen statischen Status zwischen dem Messintervall für Statistiken des Authentifizierungsbetriebs, stündlich, täglich oder wöchentlich. Andererseits kann die zeitweilige Berechtigungsprüfungs-Prioritätstabelle ihre Daten und ihren Maskierungsstatus anhand des Betriebs der Berechtigungsprüfungen dynamisch ändern.Status change: The authorization check priority table contains a static status between the measurement interval for statistics of the authentication company, hourly, daily or weekly. On the other hand, the temporary authentication priority table can dynamically change its data and masking status based on the operation of the authentication checks.

Speicherort: Da die Berechtigungsprüfungs-Prioritätstabelle von statischer Art ist, sind diese Tabellen vorzugsweise in einer Datenablage oder einem Speichermedium gespeichert. Andererseits muss die zeitweilige Berechtigungsprüfungs-Prioritätstabelle in der Lage sein, ihren Maskierungsstatus rechtzeitig und schnell zu ändern, sodass diese Tabellen im Prozessorhauptspeicher gespeichert sein sollten.Storage location: Since the authorization check priority table is of a static type, these tables are preferably stored in a data store or a storage medium. On the other hand, the temporary authentication priority table must be able to change its masking status promptly and quickly, so that these tables should be stored in processor main memory.

Erstellen der Tabelle: Die zeitweilige Berechtigungsprüfungs-Prioritätstabelle wird erstellt, in dem die Berechtigungsprüfungs-Prioritätstabelle wie oben angemerkt in geänderter Form aus dem Speicher in den Hauptspeicher geladen wird.Creating the Table: The temporary authentication priority table is created by loading the authentication priority table from memory to main memory in a modified form as noted above.

Das Berechtigungsprüfungsprogramm 66 führt dann unter Verwendung der zeitweiligen Berechtigungsprüfungs-Prioritätstabelle eine 1:N-Berechtigungsprüfung durch (Schritt 312).The authorization check program 66 then performs a 1: N authentication check using the temporary authentication priority table (step 312 ).

Wenn sich Benutzer M am Endgerät 1 anzumelden versucht, versucht das System daher keine Berechtigungsprüfung mit Informationen des Benutzers B oder Informationen des Benutzers C oder beliebigen der anderen Benutzer in den Prioritäten 3 bis (n - 1). Diese Benutzer werden übersprungen („maskiert“), und das System geht direkt zur Priorität n - Benutzer N - über, der die Berechtigungsprüfung beim ersten Versuch erfolgreich durchläuft.Therefore, when user M tries to log on to terminal 1, the system does not attempt an authorization check with information from user B or information from user C or any of the other users in the priorities 3 to (n-1). These users are skipped (“masked”) and the system goes directly to priority n - user N - who successfully passes the authorization check on the first attempt.

Dies verbessert die Leistung des Systems, da die Berechtigungsprüfung nicht gegen die biometrischen Daten eines beliebigen Benutzers durchgeführt werden muss, der bereits woanders angemeldet ist (deren Einträge maskiert sind), und die übrigen Benutzer anhand ihrer Priorität (Wahrscheinlichkeit, dass sich der Benutzer zu diesem Zeitpunkt an diesem Endgerät anmelden könnte), sodass das System die Berechtigungsprüfung zunächst für diejenigen Benutzer durchführen kann, die höchstwahrscheinlich versuchen, sich auf Berechtigung zu prüfen zu lassen.This improves the performance of the system since the authorization check does not have to be carried out against the biometric data of any user who is already logged on elsewhere (whose entries are masked) and the other users based on their priority (probability that the user will agree to this Time at this end device), so that the system can first carry out the authorization check for those users who are most likely trying to be checked for authorization.

Außerdem ist zu beachten, dass Benutzer M ebenfalls ausgeblendet werden würde, wenn er an einem anderen Endgerät angemeldet wäre - die Maske für Priorität n würde „wahr“ lauten. In diesem Fall würde sich Benutzer M nicht am Endgerät 1 auf Berechtigung prüfen lassen können. Dies würde die Sicherheit in Kraft setzen, indem ein Benutzer gezwungen wird, sich an einem der durch ihn genutzten Endgeräte abzumelden, bevor er sich anderswo anmeldet. Alternativ könnte das System so eingerichtet sein, dass ein Benutzer nach einem Zeitraum der Inaktivität automatisch abgemeldet wird, sodass das Aufheben der Maskierung automatisch erfolgen würde, wodurch sich ein Benutzer frei von Endgerät zu Endgerät bewegen kann, solange eine vorgegebene Zeit zwischen Anmeldungen liegt.It should also be noted that user M would also be hidden if he were logged on to another terminal - the mask for priority n would be "true". In this case, user M would not be able to be checked for authorization on terminal 1. This would enforce security by forcing a user to log off on one of the devices they are using before logging on elsewhere. Alternatively, the system could be set up in such a way that a user is automatically logged off after a period of inactivity, so that the masking would be removed automatically, as a result of which a user can move freely from terminal to terminal as long as there is a predetermined time between logins.

Wenn die Berechtigungsprüfung durch das Endgerät akzeptiert wurde (Schritt 314), wird der Zugriff auf das Endgerät gewährt (Schritt 316), wird das Berechtigungsprüfungsergebnis in der Berechtigungsprüfungstabelle gespeichert (Schritt 318) und das Verfahren endet.If the authorization check has been accepted by the terminal (step 314 ), access to the terminal device is granted (step 316 ), the authorization check result is stored in the authorization check table (step 318 ) and the process ends.

Wenn die Berechtigungsprüfung durch das Endgerät nicht akzeptiert wurde (Schritt 314) wird das Berechtigungsprüfungsergebnis in der Berechtigungsprüfungstabelle gespeichert (Schritt 318), wird eine Nachricht an das Endgerät gesendet, die anzeigt, dass die Berechtigungsprüfung nicht akzeptiert wurde (Schritt 320), und das Verfahren endet.If the authorization check was not accepted by the terminal (step 314 ) the authorization check result is stored in the authorization check table (step 318 ), a message is sent to the terminal indicating that the authorization check was not accepted (step 320 ), and the process ends.

Hauptelemente des Systems:Main elements of the system:

Element 1: Ausführungsmechanismus zur Verarbeitung der Hybrid-BerechtigungsprüfungElement 1: Execution mechanism for processing the hybrid authorization check

Als Reaktion auf die Berechtigungsprüfungsanforderung des Benutzers wird eine Berechtigungsprüfung durchgeführt, indem die eingegebenen biometrischen Informationen des Zielbenutzers mit gespeicherten biometrischen Berechtigungsprüfungs-Referenzdaten und gespeicherten Berechtigungsprüfungs-Referenzdaten der biometrischen Informationen auf Berechtigung geprüft werden. Dieses System realisiert die 1:1-Berechtigungsprüfung und auch die 1:N-Berechtigungsprüfung.In response to the authorization check request of the user, an authorization check is carried out by checking the entered biometric information of the target user with stored biometric authorization check reference data and stored authorization check reference data of the biometric information for authorization. This system realizes the 1: 1 authorization check and also the 1: N authorization check.

Der 1:N-Berechtigungsprüfungsprozess wird gemäß der relevanten Berechtigungsprüfungspriorität durch Endgeräte durchgeführt.The 1: N authorization check process is carried out by end devices in accordance with the relevant authorization check priority.

Außerdem wird bei dieser 1:N-Berechtigungsprüfung die gemeinsame Benutzerkontokennung bestätigt, die durch ein anderes Endgerät angemeldet wurde, wobei das durch das andere Endgerät angemeldete gemeinsame Benutzerkonto in der Berechtigungsprüfungs-Prioritätsliste maskiert wird, um es von den Berechtigungsprüfungszielen auszuschließen. In addition, this 1: N authorization check confirms the shared user account ID that has been registered by another terminal, and the shared user account registered by the other terminal is masked in the authorization check priority list in order to exclude it from the authorization check targets.

Element 2: Endgeräterelevanz-BerechnungsfunktionElement 2: Device relevance calculation function

Eine Berechnung der dynamischen Gruppierung von Endgeräten, d.h. von Abhängigkeitsbeziehungen zwischen Endgeräten auf der Grundlage der Berechtigungsprüfungsergebnisdaten im Benutzerendgerät, wird gespeichert.A calculation of the dynamic grouping of end devices, i.e. of dependency relationships between terminals based on the authentication result data in the user terminal is stored.

Element 3: Funktion zum Erstellen der Berechtigungsprüfungs-PrioritätslisteElement 3: Function for creating the authentication priority list

Erstellt und speichert eine Berechtigungsprüfungs-Prioritätsliste für jede vordefinierte Bedingung, zum Beispiel Zeit, auf der Grundlage des Berechtigungsprüfungsprotokolls bei jedem Endgerät und der Abhängigkeitsbeziehungsdaten zwischen den Endgeräten.Creates and stores an authentication priority list for each predefined condition, for example time, based on the authentication protocol for each terminal and the dependency relationship data between the terminals.

Andere ElementeOther elements

Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt in einem beliebigen möglichen Integrationsgrad technischer Einzelheiten handeln. Das Computerprogrammprodukt kann (ein) durch einen Computer lesbare(s) Speichermedium (oder -medien) beinhalten, auf dem/denen durch einen Computer lesbare Programmanweisungen gespeichert ist/sind, um einen Prozessor zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.The present invention can be a system, a method and / or a computer program product in any possible degree of integration of technical details. The computer program product may include a computer readable storage medium (or media) on which computer readable program instructions are stored to cause a processor to implement aspects of the present invention.

Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, auf der Anweisungen zur Verwendung durch eine Einheit zur Ausführung von Anweisungen aufbewahrt und gespeichert sein können. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel, ohne auf diese beschränkt zu sein, eine elektronische Speichereinheit, um eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder eine beliebige geeignete Kombination des Vorstehenden handeln. Zu einer nicht erschöpfenden Liste konkreterer Beispiele des durch einen Computer lesbaren Speichermediums gehören die folgenden: eine transportable Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (RAM), ein Nur-Lese-Speicher (ROM), ein löschbarer programmierbarer Nur-Lese-Speicher (EPROM bzw. Flash-Speicher), ein statischer Direktzugriffsspeicher (SRAM), ein transportabler Compact-Disc-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch codierte Einheit wie zum Beispiel Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und beliebige geeignete Kombinationen des Vorstehenden. Ein durch einen Computer lesbares Speichermedium im hierin verwendeten Sinne ist nicht so auszulegen, dass es sich dabei um flüchtige Signale handelt, beispielsweise um Funkwellen oder sich frei ausbreitende elektromagnetische Wellen, um elektromagnetische Wellen, die sich durch einen Hohlleiter oder andere Übertragungsmedien ausbreiten (z.B. Lichtimpulse, die ein Lichtwellenleiterkabel durchlaufen) oder um elektrische Signale, die über ein Kabel übertragen werden.The computer readable storage medium may be a physical unit on which instructions for use by an instruction execution unit may be stored and stored. For example, but not limited to, the computer readable storage medium may be an electronic storage device, a magnetic storage device, an optical storage device, an electromagnetic storage device, a semiconductor storage device, or any suitable combination of the foregoing. A non-exhaustive list of more specific examples of the computer readable storage medium includes the following: a portable computer diskette, a hard drive, a random access memory (RAM), a read only memory (ROM), an erasable programmable read only memory (EPROM) or flash memory), a static random access memory (SRAM), a portable compact disc read-only memory (CD-ROM), a DVD (digital versatile disc), a memory stick, a floppy disk, a mechanically coded one Unit such as punch cards or raised structures in a groove on which instructions are stored and any suitable combinations of the above. A computer-readable storage medium in the sense used herein is not to be interpreted as being volatile signals, e.g. radio waves or freely propagating electromagnetic waves, electromagnetic waves that propagate through a waveguide or other transmission media (e.g. light pulses that pass through an optical fiber cable) or electrical signals that are transmitted via a cable.

Hierin beschriebene durch einen Computer lesbare Programmanweisungen können über ein Netzwerk, zum Beispiel das Internet, ein lokales Netzwerk ein Weitverkehrsnetzwerk und/oder ein Drahtlosnetzwerk von einem durch einen Computer lesbaren Speichermedium auf betreffende Datenverarbeitungs-/Verarbeitungseinheiten oder auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenleiter, Drahtlosübertragung, Router, Firewalls, Switches, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder eine Netzwerkschnittstelle bei jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der jeweiligen Datenverarbeitungs-/Verarbeitungseinheit weiter.Computer-readable program instructions described herein can download a wide area network and / or a wireless network from a computer-readable storage medium to relevant data processing / processing units or to an external computer or an external storage unit via a network, for example the Internet, a local area network become. The network can include copper transmission cables, optical fibers, wireless transmission, routers, firewalls, switches, gateway computers and / or edge servers. A network adapter card or interface at each computing / processing unit receives computer-readable program instructions from the network and forwards the computer-readable program instructions for storage in a computer-readable storage medium within the respective data processing / processing unit.

Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter objektorientierte Programmiersprachen wie z.B. Smalltalk, C++ o.Ä. sowie prozedurale Programmiersprachen wie z.B. die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Softwarepaket, teilweise auf dem Computer des Benutzers und teilweise auf einem entfernt angeordneten Computer oder vollständig auf dem entfernt angeordneten Computer oder Server ausgeführt werden. Beim letztgenannten Szenario kann der entfernt angeordnete Computer mit dem Computer des Benutzers über eine beliebige Art von Netzwerk verbunden sein, unter anderem über ein lokales Netzwerk (Local Area Network, LAN) oder über ein Weitverkehrsnetzwerk (Wide Area Network, WAN), oder die Verbindung kann zu einem externen Computer hergestellt sein (beispielsweise über das Internet unter Nutzung eines Internet-Dienstanbieters (Internet Service Provider)). Bei einigen Ausführungsformen können elektronische Schaltungen, zu denen beispielsweise programmierbare Logikschaltungen, vor Ort programmierbare Schaltkreise (Field-Programmable Gate Arrays, FPGA) oder programmierbare logische Arrays (PLA) gehören, die durch einen Computer lesbaren Programmanweisungen ausführen, indem Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen genutzt werden, um die elektronische Schaltung zu personalisieren, sodass Aspekte der vorliegenden Erfindung durchgeführt werden.Computer readable program instructions for performing operations of the present invention may be assembler instructions, instruction set architecture (ISA) instructions, machine instructions, machine dependent instructions, microcode, firmware instructions, stateful data, or either source code or object code act that are written in any combination of one or more programming languages, including object-oriented programming languages such as Smalltalk, C ++ or similar. as well as procedural programming languages such as Programming language "C" or similar programming languages. The computer-readable program instructions can be executed entirely on the user's computer, partly on the user's computer, as a stand-alone software package, partly on the user's computer and partly on a remotely located computer or entirely on the remotely located computer or server. In the latter scenario, the remotely located computer can be connected to the user's computer via any type of network, including a local area network (LAN) or a wide area network (WAN), or the connection can be made to an external computer (for example, via the Internet using an Internet service provider). In some embodiments, electronic circuitry may include, for example, programmable logic circuitry, field programmable gate arrays (FPGA), or programmable logic arrays (PLA) that execute computer-readable program instructions by providing state information of that readable by a computer Program instructions can be used to personalize the electronic circuit so that aspects of the present invention are carried out.

Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Flussdiagrammdarstellungen und/oder Blockschemata von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird klar sein, dass jeder Block der Flussdiagramme und/oder der Blockschemata und Kombinationen von Blöcken in den Flussdiagrammen und/oder Blockschemata durch einen Computerprogrammanweisungen realisiert werden kann bzw. können.Aspects of the present invention are described herein with reference to flowchart representations and / or block diagrams of methods, devices (systems) and computer program products according to embodiments of the invention. It will be appreciated that each block of the flowcharts and / or the block diagrams and combinations of blocks in the flowcharts and / or block diagrams can be implemented by computer program instructions.

Diese Computerprogrammanweisungen können einem Prozessor eines Mehrzweckcomputers, eines Spezialcomputers oder anderer programmierbaren Datenverarbeitungsvorrichtungen bereitgestellt werden, um eine Maschine zu erzeugen, sodass die Anweisungen, die über den Prozessor des Computers oder anderer programmierbarer Datenverarbeitungsvorrichtungen ausgeführt werden, Mittel schaffen, um die in einem Block bzw. in den Blöcken des Flussdiagramms bzw. der Flussdiagramme und/oder des Blockschemas bzw. der Blockschemata angegebenen Funktionen/Aktionen zu realisieren. Diese durch einen Computer lesbaren Programmanweisungen können ebenfalls in einem durch einen Computer lesbaren Medium gespeichert sein, das einen Computer, andere programmierbare Datenverarbeitungsvorrichtungen oder andere Einheiten anweisen kann, in einer bestimmten Weise zu funktionieren, sodass das durch einen Computer lesbare Medium mit darauf gespeicherten Anweisungen ein Erzeugnis aufweist, das Anweisungen enthält, die die in einem Block bzw. in den Blöcken der Flussdiagramme und/oder der Blockschemata angegebene Funktion/Aktion realisieren.These computer program instructions can be provided to a processor of a general purpose computer, special purpose computer or other programmable data processing device in order to generate a machine, so that the instructions which are executed via the processor of the computer or other programmable data processing device provide means for to implement the functions / actions specified in the blocks of the flowchart or the flowcharts and / or the block diagram or the block diagrams. These computer readable program instructions may also be stored in a computer readable medium that can instruct a computer, other programmable computing device, or other device to function in a particular manner such that the computer readable medium has instructions stored thereon Product which contains instructions that implement the function / action specified in a block or in the blocks of the flowcharts and / or the block diagrams.

Die durch einen Computer lesbaren Programmanweisungen können auch in einen Computer, in andere programmierbare Datenverarbeitungsvorrichtungen oder in andere Einheiten geladen werden, um zu bewirken, dass auf dem Computer, auf anderen programmierbaren Vorrichtungen oder anderen Einheiten eine Reihe von Arbeitsschritten ausgeführt wird, um einen mittels Computer realisierten Prozess zu schaffen, sodass die Anweisungen, die auf dem Computer, auf anderen programmierbaren Vorrichtungen oder Einheiten ausgeführt werden, die in einem Block bzw. in den Blöcken der Flussdiagramme und/oder der Blockschemata angegebenen Funktionen/Aktionen realisieren.The computer readable program instructions may also be loaded into a computer, other programmable computing devices, or other devices to cause a series of operations to be performed on the computer, other programmable devices, or other devices, such as by a computer create an implemented process so that the instructions that are executed on the computer, on other programmable devices or units, implement the functions / actions specified in a block or in the blocks of the flow diagrams and / or the block diagrams.

Die Flussdiagramme und Blockschemata in den Figuren veranschaulichen die Architektur, Funktionalität und Wirkungsweise möglicher Realisierungsformen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In diesem Zusammenhang kann jeder Block in den Flussdiagrammen bzw. in den Blockschemata eine Steuerungskomponente, ein Segment oder einen Abschnitt von Anweisungen darstellen, das bzw. der eine oder mehrere ausführbare Anweisungen zur Realisierung der angegebenen Logikfunktion bzw. Logikfunktionen aufweist. Bei einigen alternativen Ausführungen können die in dem Block angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Beispielsweise können zwei hintereinander aufgeführte Blöcke tatsächlich im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können je nach der mit den Blöcken verbundenen Funktionalität manchmal in umgekehrter Reihenfolge ausgeführt werden. Darüber hinaus ist anzumerken, dass jeder Block der dargestellten Blockschemata und/oder Flussdiagramme sowie Kombinationen von Blöcken in den dargestellten Blockschemata und/oder Flussdiagrammen mit Hilfe zweckgebundener hardwaregestützter Systeme zur Ausführung der angegebenen Funktionen bzw. Aktionen oder mit Hilfe von Kombinationen aus zweckgebundener Hardware und zweckgebundenen Computeranweisungen realisiert werden kann bzw. können.The flow diagrams and block diagrams in the figures illustrate the architecture, functionality and mode of operation of possible forms of implementation of systems, methods and computer program products according to various embodiments of the present invention. In this context, each block in the flowcharts or in the block diagrams can represent a control component, a segment or a section of instructions which has one or more executable instructions for realizing the specified logic function or functions. In some alternative implementations, the functions specified in the block can take place in a different order than shown in the figures. For example, two blocks listed in sequence can actually be executed substantially simultaneously, or the blocks can sometimes be executed in reverse order depending on the functionality associated with the blocks. In addition, it should be noted that each block of the block diagrams and / or flow diagrams shown, as well as combinations of blocks in the block diagrams and / or flow diagrams shown, are used with the aid of dedicated hardware-based systems for executing the specified functions or actions or with the aid of combinations of dedicated hardware and purpose-bound Computer instructions can be realized.

Claims

Computer-implemented method for checking the authorization of users on several end devices, the method comprising the steps: a) receiving user input by a computer in order to start an authorization check on a target terminal that has biometric input from the user; b) the computer determining whether the biometric inputs received from the user indicate that the same user starts an authorization check on the target terminal that was last checked for authorization by the computer for the target terminal; c) if the user is the same user who was last checked for authorization by the computer for the target terminal, the computer performing a 1: 1 authorization check of the user; d) if the user is not the same user who was last checked for authorization by the computer for the target terminal, by the computer: i) retrieving entries from an authorization check priority table for the target terminal in a current time window; ii) reading an authentication status on terminals other than the target terminal based on an authentication result table; iii) creating a temporary authentication priority table comprising: user priority information for each terminal, time, terminal information, and user masking on terminals based on the authentication result table, the masking applying to any user who is already logged on to terminals and which is not the user who is currently starting the authorization check on the target terminal; iv) performing a 1: N authentication check of the user using the temporary authentication table; v) determining whether the 1: N authorization check has been accepted; and v) if the 1: N authorization check has been accepted, the computer granting user access to the target terminal and storing the authorization check result in the authorization check result table.

Procedure according to Claim 1 wherein the authentication priority for the authentication priority table is determined by the steps comprising: the computer calculating a terminal usage ratio per window based on the authentication result table and storing it as a terminal usage ratio table; computing by the computer a terminal relationship and storing as a terminal relationship table; and by the computer calculating the authentication priority based on the terminal relationship table, the terminal usage ratio table and the authentication result and storing the authentication priority in the authentication priority table.

Procedure according to Claim 2 , wherein the terminal usage ratio per time window is based on a relevance index of the number of logins of a user to the terminal within a time window for the terminal and the percentage of use of the terminal in a time window.

Procedure according to one of the Claims 2 or 3rd , wherein the authorization check priority is a probability that a user will use the target terminal during a certain time window.

Method according to one of the preceding claims, wherein if the 1: 1 authorization check is accepted, the authorization check result is stored in the authorization check result table and access is granted to the target terminal.

Method according to one of the preceding claims, wherein if the 1: 1 authorization check is refused, a return to step d) i) of retrieving entries from an authorization check priority table for the target terminal takes place in a current time window.

A method according to any one of the preceding claims, wherein the authentication priority list is based on an earlier authentication status of users with respect to a terminal.

Method according to one of the preceding claims, wherein the temporary authorization check table is stored in the main memory and the authorization check priority table is stored in a data store.

Computer system for checking the authorization of users on a plurality of terminals, which has a computer which has at least one processor, one or more memories, one or more computer-readable storage media on which program instructions are stored which can be executed by the computer a) receiving by the computer user input that has biometric input from the user to start the authorization check on a target terminal; b) the computer determines whether the biometric inputs received from the user indicate that the same user starts an authorization check on the target terminal that was last checked for authorization by the computer for the target terminal; c) performing a 1: 1 authorization check of the user by the computer if the user is the same user who was last checked for authorization by the computer for the target terminal; d) if the user is not the same user who was last checked for authorization by the computer for the target terminal, by the computer: i) retrieving entries from an authorization check priority table for the target terminal in a current time window; ii) reading an authentication status at terminals other than the target terminal based on an authentication result table; iii) creating a temporary authentication priority table comprising: user priority information for each terminal, time, terminal information, and user masking on terminals based on the authentication result table, where the masking applies to any user who is already logged on to terminals and which is not the user who is currently starting the authorization check on the target terminal; iv) performing a 1: N authentication check of the user using the temporary authentication table; v) determining whether the 1: N authorization check has been accepted; and v) if the 1: N authorization check has been accepted, by the computer granting user access to the target terminal and storing the authorization check result in the authorization check result table.

Computer system after Claim 9 wherein the authentication priority for the authentication priority table is determined by the program instructions comprising: the computer calculating a terminal usage ratio per time window based on the authentication result table and storing it as a terminal usage ratio table; computing by the computer a terminal relationship and storing as a terminal relationship table; and by the computer calculating the authentication priority based on the terminal relationship table, the terminal usage ratio table and the authentication result and storing the authentication priority in the authentication priority table.

Computer system after Claim 10 , wherein the terminal usage ratio per time window is based on a relevance index of the number of logins of a user to the terminal within a time window for the terminal and the percentage of use of the terminal in a time window.

Computer system after Claim 10 or 11 , wherein the authorization check priority is a probability that a user will use the target terminal during a certain time window.

Computer system after one Claims 9 to 12th , wherein if the 1: 1 authorization check is accepted, the authorization check result is stored in the authorization check result table and access is granted to the target terminal.

Computer system after one Claims 9 to 13 , where a 1: 1 authorization check is refused, a return to step d) i) of retrieving entries from an authorization check priority table for the target terminal takes place in a current time window.

Computer system after one Claims 9 to 14 wherein the authentication priority list is based on a previous authentication status of users with respect to a terminal.

Computer system after one Claims 9 to 15 , wherein the temporary authentication table is stored in the main memory and the authentication priority table is stored in a data store.

A computer program product for checking the authorization of users on a plurality of terminals, the computer program product comprising: a computer-readable storage medium which can be read by a processing circuit and on which storage instructions for execution by the processing circuit are stored, according to a method according to one of the Claims 1 to 8th perform.

Computer program, which is stored on a computer-readable medium, can be loaded into the internal main memory of a digital computer and software code sections for carrying out the method according to one of the Claims 1 to 8th if the program is running on a computer.